Κακόβουλο λογισμικό CR4T που χρησιμοποιείται στην καμπάνια DuneQuixote
Κυβερνητικά όργανα στη Μέση Ανατολή έχουν γίνει το επίκεντρο μιας άγνωστης επιχείρησης με στόχο την εισαγωγή ενός νέου μυστικού σημείου εισόδου γνωστό ως CR4T.
Σύμφωνα με ερευνητές στον τομέα της κυβερνοασφάλειας, αυτή η δραστηριότητα αποκαλύφθηκε τον Φεβρουάριο του 2024, υποδεικνύοντας πιθανή δραστηριότητα που εκτείνεται τουλάχιστον ένα χρόνο πίσω. Με την ονομασία DuneQuixote, η καμπάνια έχει εκτελεστεί με τακτικές που στοχεύουν στην αποτροπή εντοπισμού και ανάλυσης, τόσο σε κανάλια επικοινωνίας όσο και εντός του ίδιου του κακόβουλου λογισμικού.
CR4T Attack Chain
Η επίθεση ξεκινά με ένα dropper, διαθέσιμο σε δύο μορφές: ένα τυπικό εκτελέσιμο αρχείο ή αρχείο DLL και ένα τροποποιημένο πρόγραμμα εγκατάστασης για το νόμιμο εργαλείο Total Commander. Ανεξάρτητα από την παραλλαγή, το πρωταρχικό καθήκον του σταγονόμετρου είναι να εξάγει μια κρυπτογραφημένη διεύθυνση εντολής και ελέγχου (C2) χρησιμοποιώντας μια καινοτόμο μέθοδο για να αποκρύψει τη θέση του διακομιστή, αποτρέποντας τον εύκολο εντοπισμό από αυτοματοποιημένα εργαλεία ανάλυσης.
Αυτή η διαδικασία περιλαμβάνει το συνδυασμό του ονόματος αρχείου του dropper με επιλεγμένα αποσπάσματα από ισπανικά ποιήματα εντός του κώδικα, και στη συνέχεια τη δημιουργία ενός κατακερματισμού MD5 για την αποκρυπτογράφηση της διεύθυνσης διακομιστή C2.
Μόλις συνδεθεί στον διακομιστή C2, το σταγονόμετρο ανακτά ένα επόμενο ωφέλιμο φορτίο, υπό την προϋπόθεση ότι παρουσιάζει μια προκαθορισμένη συμβολοσειρά User-Agent στο αίτημα HTTP. Η πρόσβαση σε αυτό το ωφέλιμο φορτίο είναι περιορισμένη, απαιτείται ο σωστός παράγοντας χρήστη ή είναι διαθέσιμη για περιορισμένο χρονικό διάστημα μετά την κυκλοφορία δείγματος κακόβουλου λογισμικού.
Εν τω μεταξύ, το πρόγραμμα εγκατάστασης Trojanized Total Commander διατηρεί την κύρια λειτουργία του σταγονόμετρου αλλά ενσωματώνει τροποποιήσεις. Καταργεί τις ισπανικές χορδές ποιημάτων και προσθέτει περαιτέρω ελέγχους κατά της ανάλυσης, αποτρέποντας τις συνδέσεις με τον διακομιστή C2 υπό συγκεκριμένες συνθήκες, όπως η παρουσία εργαλείων εντοπισμού σφαλμάτων, η έλλειψη κίνησης του δρομέα μετά από μια καθορισμένη περίοδο, η ανεπαρκής μνήμη RAM ή χώρος στο δίσκο.
Το CR4T, κωδικοποιημένο σε C/C++, είναι ένα εμφύτευμα μόνο με μνήμη που διευκολύνει την πρόσβαση του εισβολέα μέσω μιας κονσόλας γραμμής εντολών, εκτελεί λειτουργίες αρχείων και ανταλλάσσει δεδομένα με τον διακομιστή C2.
