CR4T Malware

Regeringsinstitutioner i hele Mellemøsten er blevet mål for en snigende angrebsoperation, der har til formål at infiltrere deres systemer med en hidtil ukendt bagdør kendt som CR4T. Cybersikkerhedseksperter bemærkede først denne aktivitet i februar 2024, men bevis tyder på, at den kunne være begyndt så tidligt som et år før. Operationen spores som DuneQuixote. Gerningsmændene er gået langt for at forhindre opdagelse og undersøgelse af deres ondsindede implantater ved at anvende sofistikerede undvigelsesteknikker i både deres netværkskommunikation og designet af selve malwaren.

Den indledende fase af DuneQuixote Attack Chain

Angrebet begynder med en dropper, tilgængelig i to varianter: en standard dropper, enten i eksekverbar eller DLL-form, og en manipuleret installationsfil til det legitime værktøj, Total Commander. Uanset varianten forbliver det primære mål med dropperen konsekvent: at udtrække en krypteret Command-and-Control (C2) adresse ved at bruge en innovativ dekrypteringsteknik til at beskytte serveradressen fra automatiserede malwareanalyseværktøjer.

Denne metode involverer at erhverve filnavnet på pipettemaskinen og sammenkæde det med et af flere foruddefinerede uddrag fra spanske digte, der er indlejret i pipettemaskinens kode. Efterfølgende beregner malwaren MD5-hash af den kombinerede streng, som fungerer som dekrypteringsnøglen til C2-serveradressen.

Når den er dekrypteret, etablerer dropperen forbindelser med C2-serveren og fortsætter med at downloade en efterfølgende nyttelast, mens den angiver et hårdkodet ID som User-Agent-strengen i HTTP-anmodningen.

Adgang til nyttelasten er begrænset, medmindre den korrekte brugeragent er angivet. Desuden ser det ud til, at nyttelasten kun kan hentes én gang pr. mål eller i en begrænset periode efter implementeringen af en malwareprøve i naturen.

I modsætning hertil udviser det trojaniserede Total Commander-installationsprogram adskillige varianser, mens det bibeholder kernefunktionaliteten af den originale dropper. Det eliminerer de spanske digtstrenge og introducerer yderligere antianalyseforanstaltninger. Disse kontroller forhindrer en forbindelse til C2-serveren, hvis systemet registrerer et debugger- eller overvågningsværktøj, hvis markøren forbliver stationær ud over en specificeret varighed, hvis den tilgængelige RAM er mindre end 8 GB, eller hvis diskkapaciteten falder til under 40 GB.

CR4T Malware giver hackere mulighed for at udføre kommandoer på de inficerede systemer

CR4T ('CR4T.pdb') er et hukommelsesimplantat skrevet i C/C++. Det giver angribere adgang til en kommandolinjekonsol til at udføre kommandoer på det kompromitterede system, udføre filhandlinger og overføre filer til og fra C2-serveren. Derudover har forskere afsløret en Golang-version af CR4T med lignende funktionaliteter, herunder udførelse af vilkårlige kommandoer og oprettelse af planlagte opgaver ved hjælp af Go-ole-biblioteket.

Desuden implementerer Golang CR4T-bagdøren persistens gennem COM-objektkapring og bruger Telegram API til C2-kommunikation. Fremkomsten af Golang-varianten indikerer, at de uidentificerede trusselsaktører bag DuneQuixote-kampagnen aktivt raffinerer deres taktik med malware på tværs af platforme.

'DuneQuixote'-initiativet fokuserer på enheder i Mellemøsten og anvender en bred vifte af værktøjer, der er rettet mod stealth og vedholdenhed. Angriberne fremviser avancerede undvigelsesevner og -teknikker ved at implementere implantater og dråber, der kun er hukommelse, forklædt som legitim software, såsom at efterligne Total Commander-installationsprogrammet.