CR4T 恶意软件

中东各地的政府机构已成为一项秘密攻击行动的目标，该行动旨在利用一种此前未知的后门 CR4T 渗透其系统。网络安全专家于 2024 年 2 月首次注意到这一活动，但有证据表明，它可能早在一年前就已经开始。该行动被追踪为 DuneQuixote。犯罪者竭尽全力阻止对其恶意植入物的检测和检查，在其网络通信和恶意软件本身的设计中都采用了复杂的规避技术。

DuneQuixote 攻击链的初始阶段

攻击从 dropper 开始，dropper 有两种变体：标准 dropper（可执行文件或 DLL 形式）和合法工具 Total Commander 的可操纵安装程序文件。无论哪种变体，dropper 的主要目标始终一致：提取加密的命令和控制 (C2) 地址，利用创新的解密技术保护服务器地址免受自动恶意软件分析工具的攻击。

该方法包括获取植入程序的文件名，并将其与植入程序代码中嵌入的几段预定义西班牙诗歌摘录之一连接起来。随后，恶意软件计算组合字符串的 MD5 哈希值，将其用作 C2 服务器地址的解密密钥。

解密后，植入器会与 C2 服务器建立连接，继续下载后续有效负载，同时在 HTTP 请求中提供硬编码 ID 作为用户代理字符串。

除非提供正确的用户代理，否则对有效载荷的访问将受到限制。此外，似乎有效载荷可能只能针对每个目标检索一次，或者在野外部署恶意软件样本后的一段有限时间内检索。

相比之下，被木马感染的 Total Commander 安装程序在保留原始植入程序的核心功能的同时，还表现出一些差异。它删除了西班牙语诗歌字符串，并引入了额外的反分析措施。如果系统检测到调试器或监视工具、光标在指定时间后保持静止、可用 RAM 小于 8 GB 或磁盘容量低于 40 GB，这些检查将阻止连接到 C2 服务器。

CR4T 恶意软件允许攻击者在受感染的系统上执行命令

CR4T（“CR4T.pdb”）是一种用 C/C++ 编写的内存植入程序。它为攻击者提供了对命令行控制台的访问权限，以便在受感染的系统上执行命令、执行文件操作以及与 C2 服务器之间传输文件。此外，研究人员还发现了具有类似功能的 Golang 版本的 CR4T，包括执行任意命令和使用 Go-ole 库创建计划任务。

此外，Golang CR4T 后门通过 COM 对象劫持实现持久性，并利用 Telegram API 进行 C2 通信。Golang 变种的出现表明 DuneQuixote 活动背后的身份不明威胁行为者正在积极利用跨平台恶意软件完善其策略。

“DuneQuixote”计划主要针对中东地区的实体，使用各种旨在隐身和持久的工具。攻击者通过部署伪装成合法软件的内存植入程序和投放程序（例如模仿 Total Commander 安装程序）展示了先进的规避能力和技术。