Złośliwe oprogramowanie CR4T użyte w kampanii DuneQuixote

Organy rządowe na Bliskim Wschodzie stały się celem nieujawnionej operacji mającej na celu wprowadzenie nowego, tajnego punktu wejścia znanego jako CR4T.

Według badaczy cyberbezpieczeństwa aktywność tę wykryto w lutym 2024 r., co wskazuje na potencjalną aktywność sięgającą co najmniej roku. W kampanii nazwanej DuneQuixote zastosowano taktykę mającą na celu udaremnienie wykrycia i analizy, zarówno w kanałach komunikacyjnych, jak i w samym złośliwym oprogramowaniu.

Łańcuch ataku CR4T

Atak rozpoczyna się od droppera, dostępnego w dwóch postaciach: standardowego pliku wykonywalnego lub pliku DLL oraz zmodyfikowanego instalatora legalnego narzędzia Total Commander. Niezależnie od wariantu, głównym zadaniem droppera jest wyodrębnienie zaszyfrowanego adresu dowodzenia i kontroli (C2) przy użyciu innowacyjnej metody mającej na celu zaciemnienie lokalizacji serwera, uniemożliwiając łatwe wykrycie przez automatyczne narzędzia analityczne.

Proces ten obejmuje połączenie nazwy pliku droppera z wybranymi fragmentami hiszpańskich wierszy w kodzie, a następnie wygenerowanie skrótu MD5 w celu odszyfrowania adresu serwera C2.

Po połączeniu z serwerem C2 dropper pobiera kolejny ładunek, pod warunkiem, że w żądaniu HTTP przedstawi predefiniowany ciąg User-Agent. Dostęp do tego ładunku jest ograniczony i wymaga prawidłowego agenta użytkownika lub jest dostępny przez ograniczony czas po wydaniu próbki złośliwego oprogramowania.

Tymczasem trojanizowany instalator Total Commander zachowuje podstawową funkcję droppera, ale wprowadza zmiany. Eliminuje ciągi wierszy hiszpańskich i dodaje dalsze kontrole antyanalizacyjne, uniemożliwiając połączenia z serwerem C2 w określonych warunkach, takich jak obecność narzędzi do debugowania, brak ruchu kursora po ustalonym czasie, niewystarczająca ilość pamięci RAM lub miejsca na dysku.

CR4T, napisany w C/C++, to implant wykorzystujący tylko pamięć, ułatwiający atakującemu dostęp za pośrednictwem konsoli wiersza poleceń, przeprowadzanie operacji na plikach i wymianę danych z serwerem C2.

Do Zaib
April 22, 2024
Computer Security
Polski
April 22, 2024
Computer Security

Popularne posty

Błąd: wyskakujące okienko Ox800VDS

28 days temu

Potencjalnie niechciana aplikacja Softcnapp

2 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

9 months temu

Trojan serwisowy Alrucs

19 days temu

Remor.xyz Porywacz przeglądarki

17 days temu

Uazq Ransomware jest nowym członkiem rodziny Djvu

18 days temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.