CR4T మాల్వేర్
మధ్యప్రాచ్యం అంతటా ప్రభుత్వ సంస్థలు CR4T అని పిలవబడే మునుపు తెలియని బ్యాక్డోర్తో వారి సిస్టమ్లలోకి చొరబడే లక్ష్యంతో ఒక రహస్య దాడి ఆపరేషన్కు లక్ష్యంగా మారాయి. సైబర్ సెక్యూరిటీ నిపుణులు ఈ కార్యాచరణను ఫిబ్రవరి 2024లో మొదటిసారిగా గమనించారు, అయితే ఇది ఒక సంవత్సరం ముందే ప్రారంభమై ఉండవచ్చని ఆధారాలు సూచిస్తున్నాయి. ఆపరేషన్ DuneQuixoteగా ట్రాక్ చేయబడుతోంది. నేరస్థులు తమ హానికరమైన ఇంప్లాంట్లను గుర్తించడం మరియు పరీక్షించడాన్ని నిరోధించడానికి చాలా కష్టపడ్డారు, వారి నెట్వర్క్ కమ్యూనికేషన్లు మరియు మాల్వేర్ రూపకల్పన రెండింటిలోనూ అధునాతన ఎగవేత పద్ధతులను ఉపయోగిస్తున్నారు.
డ్యూన్ క్విక్సోట్ అటాక్ చైన్ యొక్క ప్రారంభ దశ
దాడి డ్రాపర్తో ప్రారంభమవుతుంది, ఇది రెండు వైవిధ్యాలలో లభిస్తుంది: ప్రామాణిక డ్రాపర్, ఎక్జిక్యూటబుల్ లేదా DLL రూపంలో మరియు చట్టబద్ధమైన సాధనం, టోటల్ కమాండర్ కోసం మానిప్యులేటెడ్ ఇన్స్టాలర్ ఫైల్. వేరియంట్తో సంబంధం లేకుండా, డ్రాపర్ యొక్క ప్రాథమిక లక్ష్యం స్థిరంగా ఉంటుంది: ఎన్క్రిప్టెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) చిరునామాను సంగ్రహించడం, స్వయంచాలక మాల్వేర్ విశ్లేషణ సాధనాల నుండి సర్వర్ చిరునామాను రక్షించడానికి ఒక వినూత్న డీక్రిప్షన్ టెక్నిక్ని ఉపయోగించడం.
ఈ పద్ధతిలో డ్రాపర్ యొక్క ఫైల్ పేరును పొందడం మరియు డ్రాపర్ కోడ్లో పొందుపరిచిన స్పానిష్ పద్యాల నుండి ముందుగా నిర్వచించబడిన అనేక సారాంశాలలో ఒకదానితో దానిని కలపడం ఉంటుంది. తదనంతరం, మాల్వేర్ కంబైన్డ్ స్ట్రింగ్ యొక్క MD5 హాష్ను గణిస్తుంది, ఇది C2 సర్వర్ చిరునామాకు డిక్రిప్షన్ కీగా పనిచేస్తుంది.
డీక్రిప్ట్ చేసిన తర్వాత, డ్రాపర్ C2 సర్వర్తో కనెక్షన్లను ఏర్పరుస్తుంది, HTTP అభ్యర్థనలో వినియోగదారు-ఏజెంట్ స్ట్రింగ్గా హార్డ్-కోడెడ్ IDని అందించేటప్పుడు తదుపరి పేలోడ్ను డౌన్లోడ్ చేయడానికి కొనసాగుతుంది.
సరైన వినియోగదారు ఏజెంట్ను అందించకపోతే పేలోడ్కు యాక్సెస్ పరిమితం చేయబడింది. అంతేకాకుండా, పేలోడ్ ప్రతి లక్ష్యానికి ఒకసారి మాత్రమే తిరిగి పొందవచ్చు లేదా అడవిలో మాల్వేర్ నమూనాను అమలు చేసిన తర్వాత పరిమిత సమయం వరకు మాత్రమే తిరిగి పొందవచ్చు.
దీనికి విరుద్ధంగా, ట్రోజనైజ్డ్ టోటల్ కమాండర్ ఇన్స్టాలర్ అసలైన డ్రాపర్ యొక్క ప్రధాన కార్యాచరణను కొనసాగిస్తూ అనేక వ్యత్యాసాలను ప్రదర్శిస్తుంది. ఇది స్పానిష్ పద్య తీగలను తొలగిస్తుంది మరియు అదనపు వ్యతిరేక విశ్లేషణ చర్యలను పరిచయం చేస్తుంది. సిస్టమ్ డీబగ్గర్ లేదా మానిటరింగ్ టూల్ను గుర్తించినట్లయితే, నిర్దిష్ట వ్యవధికి మించి కర్సర్ నిశ్చలంగా ఉంటే, అందుబాటులో ఉన్న RAM 8 GB కంటే తక్కువగా ఉంటే లేదా డిస్క్ సామర్థ్యం 40 GB కంటే తక్కువగా ఉంటే, ఈ తనిఖీలు C2 సర్వర్కు కనెక్షన్ను నిరోధిస్తాయి.
CR4T మాల్వేర్ దాడి చేసేవారిని సోకిన సిస్టమ్లపై ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది
CR4T ('CR4T.pdb') అనేది C/C++లో వ్రాయబడిన మెమరీ-మాత్రమే ఇంప్లాంట్. ఇది రాజీపడిన సిస్టమ్పై ఆదేశాలను అమలు చేయడం, ఫైల్ ఆపరేషన్లు చేయడం మరియు C2 సర్వర్కు మరియు దాని నుండి ఫైల్లను బదిలీ చేయడం కోసం కమాండ్-లైన్ కన్సోల్కు యాక్సెస్తో దాడి చేసేవారికి అందిస్తుంది. అదనంగా, పరిశోధకులు గో-ఓలే లైబ్రరీని ఉపయోగించి ఏకపక్ష ఆదేశాలను అమలు చేయడం మరియు షెడ్యూల్ చేసిన పనులను సృష్టించడం వంటి సారూప్య కార్యాచరణలతో CR4T యొక్క గోలాంగ్ వెర్షన్ను కనుగొన్నారు.
అంతేకాకుండా, గోలాంగ్ CR4T బ్యాక్డోర్ COM ఆబ్జెక్ట్ హైజాకింగ్ ద్వారా నిలకడను అమలు చేస్తుంది మరియు C2 కమ్యూనికేషన్ల కోసం టెలిగ్రామ్ APIని ఉపయోగిస్తుంది. గోలాంగ్ వేరియంట్ యొక్క ఆవిర్భావం DuneQuixote ప్రచారం వెనుక ఉన్న గుర్తించబడని ముప్పు నటులు క్రాస్-ప్లాట్ఫారమ్ మాల్వేర్తో వారి వ్యూహాలను చురుకుగా మెరుగుపరుచుకుంటున్నారని సూచిస్తుంది.
'DuneQuixote' చొరవ మధ్యప్రాచ్యంలోని సంస్థలపై దృష్టి సారిస్తుంది, స్టెల్త్ మరియు నిలకడను లక్ష్యంగా చేసుకుని విభిన్న శ్రేణి సాధనాలను ఉపయోగిస్తుంది. టోటల్ కమాండర్ ఇన్స్టాలర్ను అనుకరించడం వంటి చట్టబద్ధమైన సాఫ్ట్వేర్గా మారువేషంలో ఉన్న మెమరీ-మాత్రమే ఇంప్లాంట్లు మరియు డ్రాపర్లను అమలు చేయడం ద్వారా దాడి చేసేవారు అధునాతన ఎగవేత సామర్థ్యాలు మరియు సాంకేతికతలను ప్రదర్శిస్తారు.