CR4T-malware gebruikt in de DuneQuixote-campagne

Overheidsinstanties in het Midden-Oosten zijn het middelpunt geworden van een geheime operatie die tot doel heeft een nieuw clandestien toegangspunt te introduceren, bekend als CR4T.

Volgens cybersecurityonderzoekers werd deze activiteit in februari 2024 opgegraven, wat erop wijst dat er sprake is van potentiële activiteit die minstens een jaar teruggaat. De campagne, genaamd DuneQuixote, is uitgevoerd met tactieken die erop gericht zijn detectie en analyse te dwarsbomen, zowel in de communicatiekanalen als binnen de malware zelf.

CR4T-aanvalsketen

De aanval begint met een dropper, beschikbaar in twee vormen: een standaard uitvoerbaar bestand of DLL-bestand, en een aangepast installatieprogramma voor de legitieme tool Total Commander. Ongeacht de variant is de primaire taak van de dropper het extraheren van een gecodeerd command-and-control (C2)-adres met behulp van een innovatieve methode om de locatie van de server te verdoezelen, waardoor gemakkelijke detectie door geautomatiseerde analysetools wordt voorkomen.

Dit proces omvat het combineren van de bestandsnaam van de dropper met geselecteerde fragmenten uit Spaanse gedichten in de code, en vervolgens het genereren van een MD5-hash om het C2-serveradres te decoderen.

Eenmaal verbonden met de C2-server, haalt de dropper een volgende payload op, op voorwaarde dat deze een vooraf gedefinieerde User-Agent-reeks in het HTTP-verzoek presenteert. De toegang tot deze payload is beperkt, waardoor de juiste User-Agent nodig is of deze gedurende een beperkte tijd beschikbaar is na de release van een voorbeeld van de malware.

Ondertussen behoudt het Trojanized Total Commander-installatieprogramma de kernfunctie van de dropper, maar bevat het wijzigingen. Het elimineert de Spaanse gedichtreeksen en voegt verdere anti-analysecontroles toe, waardoor verbindingen met de C2-server onder specifieke omstandigheden worden voorkomen, zoals de aanwezigheid van foutopsporingstools, gebrek aan cursorbeweging na een bepaalde periode, onvoldoende RAM of schijfruimte.

CR4T, gecodeerd in C/C++, is een implantaat met alleen geheugen dat de toegang van aanvallers via een opdrachtregelconsole vergemakkelijkt, bestandsbewerkingen uitvoert en gegevens uitwisselt met de C2-server.

Tegen Zaib
April 22, 2024
Computer Security
Nederlands
April 22, 2024
Computer Security

Populaire posts

Fout: Ox800VDS pop-upfraude

28 days geleden

Softcnapp mogelijk ongewenste toepassing

2 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

9 months geleden

Alrucs Service Trojan

19 days geleden

Remor.xyz browserkaper

17 days geleden

Uazq Ransomware is een nieuw Djvu-familielid

18 days geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.