CR4T skadlig programvara som används i DuneQuixote-kampanjen
Regeringsorgan i Mellanöstern har blivit fokus för en hemlig operation som syftar till att introducera en ny hemlig ingångspunkt känd som CR4T.
Enligt cybersäkerhetsforskare grävdes denna aktivitet fram i februari 2024, vilket tyder på potentiell aktivitet som sträcker sig minst ett år tillbaka. Kampanjen, kallad DuneQuixote, har genomförts med taktik som syftar till att förhindra upptäckt och analys, både i kommunikationskanaler och inom själva skadlig programvara.
CR4T attackkedja
Attacken börjar med en dropper, tillgänglig i två former: en standardkörbar eller DLL-fil, och en modifierad installation för det legitima verktyget Total Commander. Oavsett variant är dropparens primära uppgift att extrahera en krypterad kommando-och-kontroll (C2) adress med hjälp av en innovativ metod för att fördunkla serverns plats, vilket förhindrar enkel upptäckt av automatiserade analysverktyg.
Denna process innebär att man kombinerar dropparens filnamn med utvalda fragment från spanska dikter i koden och sedan genererar en MD5-hash för att dekryptera C2-serveradressen.
När den väl är ansluten till C2-servern hämtar dropparen en efterföljande nyttolast, förutsatt att den presenterar en fördefinierad User-Agent-sträng i HTTP-begäran. Åtkomsten till denna nyttolast är begränsad, vilket kräver rätt User-Agent eller är tillgänglig under en begränsad tid efter provversionen av skadlig programvara.
Samtidigt behåller installationsprogrammet Trojanized Total Commander dropparens kärnfunktion men innehåller ändringar. Det eliminerar de spanska diktsträngarna och lägger till ytterligare antianalyskontroller, vilket förhindrar anslutningar till C2-servern under specifika förhållanden, såsom närvaron av felsökningsverktyg, avsaknad av markörrörelse efter en viss period, otillräckligt RAM-minne eller diskutrymme.
CR4T, kodad i C/C++, är ett implantat med endast minne som underlättar angriparens åtkomst via en kommandoradskonsol, utför filoperationer och utbyter data med C2-servern.