CR4T skadelig programvare brukt i DuneQuixote-kampanjen
Regjeringsorganer i Midtøsten har blitt fokus for en ikke avslørt operasjon som tar sikte på å introdusere et nytt hemmelig inngangspunkt kjent som CR4T.
I følge cybersikkerhetsforskere ble denne aktiviteten avdekket i februar 2024, noe som indikerer potensiell aktivitet som strekker seg minst ett år tilbake. Kalt DuneQuixote, har kampanjen blitt utført med taktikk rettet mot å hindre oppdagelse og analyse, både i kommunikasjonskanaler og innenfor selve skadevare.
CR4T angrepskjede
Angrepet begynner med en dropper, tilgjengelig i to former: en standard kjørbar eller DLL-fil, og et modifisert installasjonsprogram for det legitime verktøyet Total Commander. Uavhengig av varianten, er dropperens primære oppgave å trekke ut en kryptert kommando-og-kontroll (C2) adresse ved å bruke en innovativ metode for å skjule serverens plassering, og forhindre enkel gjenkjenning av automatiserte analyseverktøy.
Denne prosessen innebærer å kombinere dropperens filnavn med utvalgte utdrag fra spanske dikt i koden, og deretter generere en MD5-hash for å dekryptere C2-serveradressen.
Når den er koblet til C2-serveren, henter dropperen en påfølgende nyttelast, forutsatt at den presenterer en forhåndsdefinert User-Agent-streng i HTTP-forespørselen. Tilgang til denne nyttelasten er begrenset, krever riktig brukeragent eller er tilgjengelig i en begrenset tidsperiode etter prøveutgivelsen av skadelig programvare.
I mellomtiden beholder Trojanized Total Commander-installasjonsprogrammet dropperens kjernefunksjon, men inneholder endringer. Den eliminerer de spanske diktstrengene og legger til ytterligere antianalysekontroller, og forhindrer tilkoblinger til C2-serveren under spesifikke forhold, for eksempel tilstedeværelsen av feilsøkingsverktøy, manglende markørbevegelse etter en angitt periode, utilstrekkelig RAM eller diskplass.
CR4T, kodet i C/C++, er et minne-implantat som letter angriperens tilgang gjennom en kommandolinjekonsoll, utfører filoperasjoner og utveksler data med C2-serveren.