Вредоносное ПО CR4T использовалось в кампании DuneQuixote
Правительственные органы на Ближнем Востоке оказались в центре внимания нераскрытой операции, направленной на создание новой тайной точки входа, известной как CR4T.
По словам исследователей кибербезопасности, эта активность была обнаружена в феврале 2024 года, что указывает на потенциальную активность, продолжавшуюся как минимум год. Кампания, получившая название DuneQuixote, была реализована с использованием тактики, направленной на предотвращение обнаружения и анализа как в каналах связи, так и внутри самого вредоносного ПО.
Цепочка атак CR4T
Атака начинается с дроппера, доступного в двух формах: стандартного исполняемого файла или DLL-файла и модифицированного установщика легального инструмента Total Commander. Независимо от варианта, основной задачей дроппера является извлечение зашифрованного адреса управления и контроля (C2) с использованием инновационного метода, позволяющего скрыть местоположение сервера и предотвратить его легкое обнаружение инструментами автоматического анализа.
Этот процесс включает в себя объединение имени файла дроппера с избранными фрагментами испанских стихов в коде, а затем создание хеша MD5 для расшифровки адреса сервера C2.
После подключения к серверу C2 дроппер извлекает последующую полезную нагрузку при условии, что он представляет предопределенную строку User-Agent в HTTP-запросе. Доступ к этой полезной нагрузке ограничен, поэтому требуется правильный User-Agent или она доступна в течение ограниченного времени после выпуска образца вредоносного ПО.
При этом троянизированный установщик Total Commander сохраняет основные функции дроппера, но включает в себя изменения. Он устраняет строки испанских стихотворений и добавляет дополнительные проверки антианализа, предотвращая подключения к серверу C2 при определенных условиях, таких как наличие инструментов отладки, отсутствие движения курсора по истечении установленного периода, недостаточное количество оперативной памяти или места на диске.
CR4T, написанный на C/C++, представляет собой имплантат, занимающий только память, облегчающий доступ злоумышленника через консоль командной строки, выполнение файловых операций и обмен данными с сервером C2.