CR4T вредоносное ПО

Правительственные учреждения по всему Ближнему Востоку стали объектами скрытой атаки, направленной на проникновение в их системы с помощью ранее неизвестного бэкдора, известного как CR4T. Эксперты по кибербезопасности впервые заметили эту активность в феврале 2024 года, но данные свидетельствуют о том, что она могла начаться еще за год до этого. Операция отслеживается как DuneQuixote. Злоумышленники приложили все усилия, чтобы предотвратить обнаружение и проверку своих вредоносных имплантатов, используя сложные методы обхода как в сетевых коммуникациях, так и в конструкции самого вредоносного ПО.

Начальная стадия цепочки атак «ДюнеКихот»

Атака начинается с дроппера, доступного в двух вариантах: стандартного дроппера в виде исполняемого файла или DLL и модифицированного установочного файла легитимного инструмента Total Commander. Независимо от варианта, основная цель дроппера остается неизменной: извлечь зашифрованный адрес управления и контроля (C2), используя инновационную технику расшифровки для защиты адреса сервера от автоматических инструментов анализа вредоносного ПО.

Этот метод предполагает получение имени файла дроппера и объединение его с одним из нескольких заранее определенных отрывков из испанских стихов, встроенных в код дроппера. Впоследствии вредоносная программа вычисляет хэш MD5 объединенной строки, который служит ключом расшифровки адреса сервера C2.

После расшифровки дроппер устанавливает соединения с сервером C2, приступая к загрузке последующих полезных данных, предоставляя жестко закодированный идентификатор в качестве строки User-Agent в HTTP-запросе.

Доступ к полезной нагрузке ограничен, если не предоставлен правильный пользовательский агент. Более того, похоже, что полезная нагрузка может быть получена только один раз для каждой цели или в течение ограниченного времени после развертывания образца вредоносного ПО в реальных условиях.

Напротив, зараженный трояном установщик Total Commander демонстрирует несколько различий, сохраняя при этом основные функции оригинального дроппера. Он исключает строки испанских стихотворений и вводит дополнительные меры против анализа. Эти проверки предотвращают подключение к серверу C2, если система обнаруживает отладчик или инструмент мониторинга, если курсор остается неподвижным в течение определенного времени, если доступная оперативная память составляет менее 8 ГБ или если емкость диска падает ниже 40 ГБ.

Вредоносная программа CR4T позволяет злоумышленникам выполнять команды на зараженных системах

CR4T ('CR4T.pdb') — это имплантат только памяти, написанный на C/C++. Он предоставляет злоумышленникам доступ к консоли командной строки для выполнения команд в скомпрометированной системе, выполнения файловых операций и передачи файлов на сервер C2 и с него. Кроме того, исследователи обнаружили версию CR4T на Golang с аналогичными функциями, включая выполнение произвольных команд и создание запланированных задач с использованием библиотеки Go-ole.

Более того, бэкдор Golang CR4T реализует постоянство посредством перехвата COM-объекта и использует API Telegram для связи C2. Появление варианта Golang указывает на то, что неизвестные злоумышленники, стоящие за кампанией DuneQuixote, активно совершенствуют свою тактику с помощью кроссплатформенного вредоносного ПО.

Инициатива «Дюнный Кихот» фокусируется на организациях на Ближнем Востоке и использует широкий спектр инструментов, направленных на скрытность и настойчивость. Злоумышленники демонстрируют передовые возможности и методы уклонения, внедряя имплантаты и дропперы, предназначенные только для памяти, замаскированные под легальное программное обеспечение, например, имитирующие установщик Total Commander.