Шкідливе програмне забезпечення CR4T

Урядові установи на Близькому Сході стали цілями прихованої атаки, спрямованої на проникнення в їхні системи за допомогою раніше невідомого бекдору, відомого як CR4T. Експерти з кібербезпеки вперше помітили цю активність у лютому 2024 року, але дані свідчать про те, що вона могла початися ще рік тому. Операція відстежується як DuneQuixote. Зловмисники доклали чимало зусиль, щоб запобігти виявленню та перевірці своїх шкідливих імплантатів, використовуючи складні методи ухилення як у своїх мережевих комунікаціях, так і в дизайні самого шкідливого програмного забезпечення.

Початковий етап ланцюга атак DuneQuixote

Атака починається з дроппера, доступного в двох варіаціях: стандартного дроппера у виконуваному файлі або у формі DLL і маніпуляційного файлу інсталятора для законного інструменту Total Commander. Незалежно від варіанту, основна мета дроппера залишається незмінною: отримати зашифровану адресу командування та керування (C2), використовуючи інноваційну техніку дешифрування для захисту адреси сервера від автоматизованих інструментів аналізу шкідливих програм.

Цей метод передбачає отримання назви файлу дроппера та об’єднання його з одним із кількох попередньо визначених уривків з іспанських віршів, вбудованих у код дроппера. Згодом зловмисне програмне забезпечення обчислює хеш MD5 комбінованого рядка, який служить ключем розшифровки для адреси сервера C2.

Після розшифрування дроппер встановлює з’єднання із сервером C2, переходячи до завантаження наступного корисного навантаження, надаючи жорстко закодований ідентифікатор як рядок User-Agent у запиті HTTP.

Доступ до корисного навантаження обмежено, якщо не надано правильний агент користувача. Крім того, здається, що корисне навантаження можна отримати лише один раз на ціль або протягом обмеженого часу після розгортання зразка шкідливого програмного забезпечення в дикій природі.

Навпаки, троянський інсталятор Total Commander демонструє кілька варіантів, зберігаючи основні функції оригінального дроппера. Він усуває рядки віршів іспанською мовою та вводить додаткові заходи проти аналізу. Ці перевірки запобігають з’єднанню з сервером C2, якщо система виявляє налагоджувач або засіб моніторингу, якщо курсор залишається нерухомим протягом визначеного часу, якщо доступна оперативна пам’ять менше 8 ГБ або якщо ємність диска падає нижче 40 ГБ.

Шкідлива програма CR4T дозволяє зловмисникам виконувати команди на заражених системах

CR4T ('CR4T.pdb') — це імплантат, який працює лише в пам'яті, і написаний мовою C/C++. Він надає зловмисникам доступ до консолі командного рядка для виконання команд у скомпрометованій системі, виконання операцій з файлами та передачі файлів на сервер C2 і з нього. Крім того, дослідники виявили версію CR4T Golang із подібними функціями, включаючи виконання довільних команд і створення запланованих завдань за допомогою бібліотеки Go-ole.

Крім того, бекдор Golang CR4T реалізує стійкість через викрадення об’єктів COM і використовує API Telegram для зв’язку C2. Поява варіанту Golang вказує на те, що невстановлені загрози, які стоять за кампанією DuneQuixote, активно вдосконалюють свою тактику за допомогою кросплатформного шкідливого програмного забезпечення.

Ініціатива «DuneQuixote» зосереджена на організаціях на Близькому Сході, використовуючи різноманітні інструменти, спрямовані на скритність і наполегливість. Зловмисники демонструють розширені можливості та методи ухилення, розгортаючи імплантати лише для пам’яті та дроппери, замасковані під законне програмне забезпечення, наприклад імітуючи програму встановлення Total Commander.