Phần mềm độc hại CR4T

Các tổ chức chính phủ trên khắp Trung Đông đã trở thành mục tiêu của một hoạt động tấn công lén lút nhằm xâm nhập vào hệ thống của họ bằng một cửa sau chưa từng được biết đến trước đây có tên là CR4T. Các chuyên gia an ninh mạng lần đầu tiên chú ý đến hoạt động này vào tháng 2 năm 2024, nhưng bằng chứng cho thấy nó có thể đã bắt đầu sớm nhất là một năm trước đó. Hoạt động này đang được theo dõi dưới tên DuneQuixote. Những kẻ thủ phạm đã nỗ lực hết sức để ngăn chặn việc phát hiện và kiểm tra các thiết bị cấy ghép độc hại của chúng, sử dụng các kỹ thuật lẩn tránh tinh vi trong cả hoạt động liên lạc mạng và thiết kế phần mềm độc hại.

Giai đoạn đầu của Chuỗi tấn công DuneQuixote

Cuộc tấn công bắt đầu bằng một công cụ nhỏ giọt, có hai biến thể: một công cụ nhỏ giọt tiêu chuẩn, ở dạng thực thi hoặc dạng DLL và một tệp cài đặt bị thao túng cho công cụ hợp pháp, Total Commander. Bất kể biến thể nào, mục tiêu chính của công cụ nhỏ giọt vẫn nhất quán: trích xuất địa chỉ Lệnh và Kiểm soát (C2) được mã hóa, sử dụng kỹ thuật giải mã cải tiến để bảo vệ địa chỉ máy chủ khỏi các công cụ phân tích phần mềm độc hại tự động.

Phương pháp này liên quan đến việc lấy tên tệp của ống nhỏ giọt và ghép nó với một trong số các đoạn trích được xác định trước từ các bài thơ tiếng Tây Ban Nha được nhúng trong mã của ống nhỏ giọt. Sau đó, phần mềm độc hại tính toán hàm băm MD5 của chuỗi kết hợp, đóng vai trò là khóa giải mã cho địa chỉ máy chủ C2.

Sau khi được giải mã, thiết bị nhỏ giọt sẽ thiết lập các kết nối với máy chủ C2, tiến hành tải xuống tải trọng tiếp theo trong khi cung cấp ID được mã hóa cứng dưới dạng chuỗi Tác nhân người dùng trong yêu cầu HTTP.

Quyền truy cập vào tải trọng bị hạn chế trừ khi tác nhân người dùng chính xác được cung cấp. Hơn nữa, có vẻ như tải trọng chỉ có thể được truy xuất một lần cho mỗi mục tiêu hoặc trong một khoảng thời gian giới hạn sau khi triển khai mẫu phần mềm độc hại ngoài tự nhiên.

Ngược lại, trình cài đặt Total Commander bị trojan hóa có một số khác biệt trong khi vẫn duy trì chức năng cốt lõi của trình cài đặt gốc. Nó loại bỏ các chuỗi bài thơ tiếng Tây Ban Nha và đưa ra các biện pháp chống phân tích bổ sung. Những hoạt động kiểm tra này sẽ ngăn kết nối với máy chủ C2 nếu hệ thống phát hiện trình gỡ lỗi hoặc công cụ giám sát, nếu con trỏ vẫn đứng yên trong khoảng thời gian được chỉ định, nếu RAM khả dụng nhỏ hơn 8 GB hoặc nếu dung lượng ổ đĩa giảm xuống dưới 40 GB.

Phần mềm độc hại CR4T cho phép kẻ tấn công thực thi lệnh trên hệ thống bị lây nhiễm

CR4T ('CR4T.pdb') là bộ cấy chỉ có bộ nhớ được viết bằng C/C++. Nó cung cấp cho kẻ tấn công quyền truy cập vào bảng điều khiển dòng lệnh để thực thi các lệnh trên hệ thống bị xâm nhập, thực hiện các thao tác với tệp và truyền tệp đến và từ máy chủ C2. Ngoài ra, các nhà nghiên cứu đã phát hiện ra phiên bản Golang của CR4T có chức năng tương tự, bao gồm thực thi các lệnh tùy ý và tạo các tác vụ theo lịch trình bằng thư viện Go-ole.

Hơn nữa, cửa hậu Golang CR4T còn triển khai tính bền vững thông qua việc chiếm quyền điều khiển đối tượng COM và sử dụng API Telegram để liên lạc C2. Sự xuất hiện của biến thể Golang cho thấy các tác nhân đe dọa chưa xác định đằng sau chiến dịch DuneQuixote đang tích cực tinh chỉnh chiến thuật của chúng bằng phần mềm độc hại đa nền tảng.

Sáng kiến 'DuneQuixote' tập trung vào các thực thể ở Trung Đông, sử dụng nhiều công cụ đa dạng nhằm mục đích tàng hình và kiên trì. Những kẻ tấn công thể hiện các khả năng và kỹ thuật trốn tránh tiên tiến bằng cách triển khai các thiết bị cấy ghép và thiết bị nhỏ giọt chỉ có bộ nhớ được ngụy trang dưới dạng phần mềm hợp pháp, chẳng hạn như bắt chước trình cài đặt Total Commander.