A DuneQuixote kampányban használt CR4T rosszindulatú program
A Közel-Kelet kormányzati szervei egy nem titkolt hadművelet középpontjába kerültek, amelynek célja egy új, titkos belépési pont, a CR4T bevezetése.
A kiberbiztonsági kutatók szerint ezt a tevékenységet 2024 februárjában tárták fel, ami legalább egy évre visszanyúló potenciális tevékenységre utal. A DuneQuixote névre keresztelt kampányt olyan taktikával hajtották végre, amelynek célja az észlelés és elemzés meghiúsítása, mind a kommunikációs csatornákon, mind magán a rosszindulatú programokon belül.
CR4T támadási lánc
A támadás egy dropperrel kezdődik, amely kétféle formában érhető el: szabványos végrehajtható vagy DLL-fájlként, valamint egy módosított telepítővel a legitim Total Commander eszközhöz. A változattól függetlenül a dropper elsődleges feladata egy titkosított parancs- és vezérlési (C2) cím kinyerése egy innovatív módszerrel a kiszolgáló helyének elhomályosítására, megakadályozva ezzel az automatizált elemző eszközökkel történő könnyű észlelést.
Ez a folyamat magában foglalja a cseppentő fájlnevének kombinálását a kódon belüli spanyol versek kiválasztott töredékeivel, majd egy MD5 hash létrehozását a C2 szerver címének visszafejtéséhez.
Miután csatlakozott a C2 szerverhez, a dropper lekér egy következő hasznos adatot, feltéve, hogy egy előre meghatározott User-Agent karakterláncot jelenít meg a HTTP-kérésben. Az ehhez a hasznos adathoz való hozzáférés korlátozott, megfelelő User-Agent szükséges, vagy korlátozott ideig elérhető a rosszindulatú program minta kiadása után.
Eközben a Trojanized Total Commander telepítője megtartja a cseppentő alapvető funkcióját, de tartalmaz változtatásokat. Megszünteti a spanyol verssorokat, és további anti-analízis-ellenőrzéseket ad hozzá, megakadályozva a kapcsolatot a C2 szerverrel bizonyos körülmények között, például hibakereső eszközök jelenléte, a kurzor mozgásának hiánya egy meghatározott időszak után, elégtelen RAM vagy lemezterület.
A C/C++ kódolású CR4T egy csak memóriát használó implantátum, amely megkönnyíti a támadók számára a parancssori konzolon keresztüli hozzáférést, fájlműveletek végrehajtását és adatcserét a C2 szerverrel.
