CR4T 惡意軟體

中東各地的政府機構已成為秘密攻擊行動的目標，該行動旨在透過以前未知的名為 CR4T 的後門滲透其係統。網路安全專家在 2024 年 2 月首次注意到這項活動，但有證據表明它可能早在一年前就開始了。該行動被追蹤為 DuneQuixote。犯罪者竭盡全力防止其惡意植入程式被偵測和檢查，在網路通訊和惡意軟體本身的設計中都採用了複雜的規避技術。

DuneQuixote 攻擊鏈的初始階段

攻擊從釋放器開始，有兩種變體：標準釋放器（可執行檔或 DLL 形式）和合法工具 Total Commander 的受操縱安裝程式檔案。無論哪種變體，此植入程式的主要目標都是一致的：提取加密的命令和控制 (C2) 位址，利用創新的解密技術來保護伺服器位址免受自動惡意軟體分析工具的侵害。

此方法涉及獲取植入程序的文件名，並將其與嵌入植入程序代碼中的西班牙詩歌的幾個預定義摘錄之一連接起來。隨後，惡意軟體計算組合字串的 MD5 雜湊值，作為 C2 伺服器位址的解密金鑰。

解密後，植入程式會與 C2 伺服器建立連接，繼續下載後續有效負載，同時提供硬編碼 ID 作為 HTTP 請求中的使用者代理字串。

除非提供正確的用戶代理，否則對有效負載的存取將受到限制。此外，似乎每個目標只能檢索一次有效負載，或在野外部署惡意軟體樣本後的有限時間內檢索有效負載。

相較之下，木馬化的 Total Commander 安裝程序在保留原始植入程序的核心功能的同時，表現出一些差異。它消除了西班牙詩歌字符串並引入了額外的反分析措施。如果系統偵測到偵錯器或監控工具、遊標在指定持續時間內保持靜止、可用 RAM 小於 8 GB 或磁碟容量低於 40 GB，這些檢查將阻止與 C2 伺服器的連線。

CR4T 惡意軟體允許攻擊者在受感染的系統上執行命令

CR4T（'CR4T.pdb'）是用 C/C++ 編寫的僅記憶體植入程式。它為攻擊者提供了對命令列控制台的存取權限，以便在受感染的系統上執行命令、執行檔案操作以及將檔案傳輸到 C2 伺服器或從 C2 伺服器傳輸檔案。此外，研究人員還發現了具有類似功能的 Golang 版本的 CR4T，包括執行任意命令以及使用 Go-ole 庫建立排程任務。

此外，Golang CR4T後門透過COM物件劫持實現持久化，並利用Telegram API進行C2通訊。 Golang 變種的出現表明，DuneQuixote 活動背後的身份不明的威脅參與者正在積極利用跨平台惡意軟體來改進其策略。

「DuneQuixote」計畫聚焦於中東實體，採用多種旨在隱密和持久的工具。攻擊者透過部署偽裝成合法軟體的純記憶體植入程式和植入程式（例如模仿 Total Commander 安裝程式）來展示先進的規避能力和技術。