CR4T skadlig programvara

Statliga institutioner över hela Mellanöstern har blivit mål för en smyg attackoperation som syftar till att infiltrera deras system med en tidigare okänd bakdörr känd som CR4T. Cybersäkerhetsexperter märkte först denna aktivitet i februari 2024, men bevis tyder på att den kunde ha börjat så tidigt som ett år tidigare. Operationen spåras som DuneQuixote. Gärningsmännen har ansträngt sig mycket för att förhindra upptäckt och undersökning av deras skadliga implantat, och har använt sofistikerade tekniker för undanflykter i både nätverkskommunikation och utformningen av själva skadliga programvaran.

Det inledande skedet av DuneQuixote Attack Chain

Attacken börjar med en dropper, tillgänglig i två varianter: en standard dropper, antingen i körbar eller DLL-form, och en manipulerad installationsfil för det legitima verktyget, Total Commander. Oavsett variant förblir dropparens primära mål konsekvent: att extrahera en krypterad Command-and-Control-adress (C2) med hjälp av en innovativ dekrypteringsteknik för att skydda serveradressen från automatiserade analysverktyg för skadlig programvara.

Denna metod innebär att man skaffar filnamnet på dropparen och sammanfogar det med ett av flera fördefinierade utdrag ur spanska dikter inbäddade i dropparens kod. Därefter beräknar skadlig programvara MD5-hash för den kombinerade strängen, som fungerar som dekrypteringsnyckeln för C2-serveradressen.

När den väl har dekrypterats upprättar dropparen anslutningar med C2-servern och fortsätter att ladda ner en efterföljande nyttolast samtidigt som den tillhandahåller ett hårdkodat ID som User-Agent-strängen i HTTP-förfrågan.

Åtkomsten till nyttolasten är begränsad om inte rätt användaragent tillhandahålls. Dessutom verkar det som om nyttolasten bara kan återställas en gång per mål eller under en begränsad tid efter att ett prov från skadlig programvara har distribuerats i naturen.

Däremot uppvisar det trojaniserade Total Commander-installationsprogrammet flera variationer samtidigt som kärnfunktionaliteten hos den ursprungliga droppern bibehålls. Den eliminerar de spanska diktsträngarna och introducerar ytterligare antianalysåtgärder. Dessa kontroller förhindrar en anslutning till C2-servern om systemet upptäcker ett felsöknings- eller övervakningsverktyg, om markören förblir stationär utöver en angiven varaktighet, om det tillgängliga RAM-minnet är mindre än 8 GB eller om diskkapaciteten faller under 40 GB.

CR4T Malware tillåter angripare att utföra kommandon på de infekterade systemen

CR4T ('CR4T.pdb') är ett implantat med endast minne skrivet i C/C++. Det ger angripare tillgång till en kommandoradskonsol för att utföra kommandon på det komprometterade systemet, utföra filoperationer och överföra filer till och från C2-servern. Dessutom har forskare upptäckt en Golang-version av CR4T med liknande funktioner, inklusive exekvering av godtyckliga kommandon och skapandet av schemalagda uppgifter med hjälp av Go-ole-biblioteket.

Dessutom implementerar Golang CR4T-bakdörren uthållighet genom kapning av COM-objekt och använder Telegram API för C2-kommunikation. Framväxten av Golang-varianten indikerar att de oidentifierade hotaktörerna bakom DuneQuixote-kampanjen aktivt förfinar sin taktik med plattformsoberoende skadlig kod.

Initiativet "DuneQuixote" fokuserar på enheter i Mellanöstern och använder en mängd olika verktyg som syftar till smygande och uthållighet. Angriparna visar upp avancerade flyktmöjligheter och tekniker genom att distribuera implantat och droppare för enbart minne förklädda som legitim programvara, som att efterlikna Total Commander-installationsprogrammet.