DuneQuixote 活动中使用的 CR4T 恶意软件
中东地区的政府机构已成为一项未公开行动的焦点,该行动旨在引入一个名为 CR4T 的新的秘密切入点。
据网络安全研究人员称,该活动于 2024 年 2 月被发现,表明可能的活动至少可以追溯到一年前。该活动被称为 DuneQuixote,其实施策略旨在阻止通信渠道和恶意软件本身的检测和分析。
CR4T 攻击链
攻击始于一个植入程序,有两种形式:标准可执行文件或 DLL 文件,以及合法工具 Total Commander 的修改版安装程序。无论哪种变体,植入程序的主要任务都是使用创新方法提取加密的命令和控制 (C2) 地址,以混淆服务器位置,防止自动分析工具轻易检测到。
此过程涉及将投放器的文件名与代码中的西班牙诗歌精选片段相结合,然后生成 MD5 哈希值以解密 C2 服务器地址。
一旦连接到 C2 服务器,只要在 HTTP 请求中提供预定义的 User-Agent 字符串,dropper 就会获取后续有效负载。访问此有效负载受到限制,需要正确的 User-Agent,否则在恶意软件样本发布后的有限时间内可用。
同时,被木马感染的 Total Commander 安装程序保留了植入程序的核心功能,但进行了修改。它删除了西班牙语诗歌字符串,并添加了进一步的反分析检查,在特定条件下阻止连接到 C2 服务器,例如存在调试工具、在设定的时间段后没有光标移动、RAM 或磁盘空间不足。
CR4T 以 C/C++ 编写,是一种仅限内存的植入程序,可帮助攻击者通过命令行控制台进行访问、执行文件操作以及与 C2 服务器交换数据。