DuneQuixote キャンペーンで使用された CR4T マルウェア

中東の政府機関は、CR4Tとして知られる新たな秘密の侵入口を導入することを目的とした非公開の作戦の焦点となっている。

サイバーセキュリティ研究者によると、この活動は2024年2月に発覚しており、少なくとも1年前に遡る活動の可能性を示唆している。DuneQuixoteと名付けられたこのキャンペーンは、通信チャネルとマルウェア自体の両方で検出と分析を阻止することを目的とした戦術で実行された。

CR4T 攻撃チェーン

攻撃はドロッパーで始まります。ドロッパーは、標準の実行可能ファイルまたは DLL ファイルと、正規のツール Total Commander の修正されたインストーラーの 2 つの形式で利用できます。亜種に関係なく、ドロッパーの主なタスクは、革新的な方法を使用してサーバーの場所を難読化し、自動分析ツールによる検出を容易に防ぐことで、暗号化されたコマンド アンド コントロール (C2) アドレスを抽出することです。

このプロセスでは、ドロッパーのファイル名とコード内のスペイン語の詩から選択したスニペットを組み合わせ、MD5 ハッシュを生成して C2 サーバー アドレスを復号化します。

C2 サーバーに接続すると、ドロッパーは、HTTP リクエストに定義済みの User-Agent 文字列が含まれている場合に、後続のペイロードを取得します。このペイロードへのアクセスは制限されており、正しい User-Agent が必要であるか、マルウェア サンプルのリリース後に限られた期間のみ利用可能となります。

一方、トロイの木馬化された Total Commander インストーラーはドロッパーのコア機能を保持しながらも変更を加えています。スペイン語の詩の文字列を削除し、さらに分析防止チェックを追加して、デバッグ ツールの存在、一定時間後にカーソルが動かない、RAM またはディスク容量が不足しているなどの特定の条件下で C2 サーバーへの接続を防止します。

C/C++ でコーディングされた CR4T は、コマンド ライン コンソール経由で攻撃者がアクセスし、ファイル操作を実行し、C2 サーバーとデータを交換できるようにするメモリ専用のインプラントです。