CR4T-malware brugt i DuneQuixote-kampagnen

Regeringsorganer i Mellemøsten er blevet fokus for en ikke-offentliggjort operation, der sigter mod at introducere et nyt hemmeligt indgangspunkt kendt som CR4T.

Ifølge cybersikkerhedsforskere blev denne aktivitet afsløret i februar 2024, hvilket indikerer potentiel aktivitet, der strækker sig mindst et år tilbage. Kaldt DuneQuixote er kampagnen blevet eksekveret med taktikker rettet mod at forpurre detektion og analyse, både i kommunikationskanaler og i selve malwaren.

CR4T angrebskæde

Angrebet begynder med en dropper, tilgængelig i to former: en standard eksekverbar eller DLL-fil og et modificeret installationsprogram til det legitime værktøj Total Commander. Uanset varianten er dropperens primære opgave at udtrække en krypteret kommando-og-kontrol-adresse (C2) ved hjælp af en innovativ metode til at sløre serverens placering, hvilket forhindrer nem detektering af automatiserede analyseværktøjer.

Denne proces involverer at kombinere dropperens filnavn med udvalgte uddrag fra spanske digte i koden og derefter generere en MD5-hash for at dekryptere C2-serveradressen.

Når først tilsluttet til C2-serveren, henter dropperen en efterfølgende nyttelast, forudsat at den præsenterer en foruddefineret User-Agent-streng i HTTP-anmodningen. Adgang til denne nyttelast er begrænset, hvilket kræver den korrekte User-Agent eller er tilgængelig i en begrænset periode efter-malware-eksempeludgivelse.

I mellemtiden bevarer Trojanized Total Commander-installationsprogrammet dropperens kernefunktion, men inkorporerer ændringer. Det eliminerer de spanske digtstrenge og tilføjer yderligere anti-analyse-tjek, hvilket forhindrer forbindelser til C2-serveren under specifikke forhold, såsom tilstedeværelsen af fejlfindingsværktøjer, manglende markørbevægelse efter en fastsat periode, utilstrækkelig RAM eller diskplads.

CR4T, kodet i C/C++, er et implantat med kun hukommelse, der letter hackerens adgang via en kommandolinjekonsol, udfører filoperationer og udveksler data med C2-serveren.