CR4T kenkėjiška programa, naudojama DuneQuixote kampanijoje

Artimųjų Rytų vyriausybinės institucijos tapo neatskleistos operacijos, kuria siekiama įvesti naują slaptą įėjimo tašką, žinomą kaip CR4T, dėmesio centre.

Kibernetinio saugumo tyrinėtojų teigimu, ši veikla buvo rasta 2024 m. vasario mėn., o tai rodo, kad potenciali veikla tęsiasi mažiausiai metus. Kampanija, pavadinta DuneQuixote, buvo vykdoma taikant taktiką, kuria siekiama sutrukdyti aptikimui ir analizei tiek komunikacijos kanaluose, tiek pačioje kenkėjiškoje programoje.

CR4T atakos grandinė

Ataka prasideda lašintuvu, kuris yra dviejų formų: standartinis vykdomasis arba DLL failas ir modifikuota teisėto įrankio Total Commander diegimo programa. Nepriklausomai nuo varianto, pagrindinė lašintuvo užduotis yra išgauti užšifruotą komandų ir valdymo (C2) adresą naudojant naujovišką metodą, kad būtų užmaskuota serverio vieta, neleidžiant lengvai aptikti automatinių analizės įrankių.

Šis procesas apima lašintuvo failo pavadinimo sujungimą su pasirinktais fragmentais iš ispaniškų eilėraščių kode, tada generuoja MD5 maišą, kad iššifruotų C2 serverio adresą.

Prisijungus prie C2 serverio, lašintuvas gauna tolesnę naudingąją apkrovą, jei HTTP užklausoje pateikia iš anksto nustatytą vartotojo agento eilutę. Prieiga prie šio naudingojo krovinio yra apribota, reikalingas teisingas vartotojo agentas arba pasiekiamas ribotą laiką po kenkėjiškos programos pavyzdžio išleidimo.

Tuo tarpu Trojanized Total Commander diegimo programa išlaiko pagrindinę lašintuvo funkciją, bet apima pakeitimus. Tai pašalina ispaniškų eilėraščių eilutes ir prideda tolesnius anti-analizės patikrinimus, neleidžiant prisijungti prie C2 serverio tam tikromis sąlygomis, pvz., jei yra derinimo įrankių, žymeklis nejuda po nustatyto laikotarpio, nepakanka RAM ar vietos diske.

CR4T, koduotas C/C++, yra tik atminties implantas, palengvinantis užpuoliko prieigą per komandinės eilutės pultą, atliekantis failų operacijas ir keičiantis duomenimis su C2 serveriu.