DuneQuixote 活動中使用的 CR4T 惡意軟體

中東政府機構已成為一項秘密行動的焦點，該行動旨在引入一個名為 CR4T 的新秘密入境點。

據網路安全研究人員稱，這項活動於 2024 年 2 月被發現，表明潛在活動至少可以追溯到一年前。該活動被稱為“DuneQuixote”，其策略旨在阻止通訊管道和惡意軟體本身的檢測和分析。

CR4T攻擊鏈

攻擊從種植程式開始，有兩種形式：標準可執行檔或 DLL 文件，以及合法工具 Total Commander 的修改安裝程式。無論哪種變體，植入程式的主要任務都是使用創新方法提取加密的命令和控制 (C2) 位址，以混淆伺服器的位置，防止自動分析工具輕易檢測到。

此過程涉及將植入程式的檔案名稱與程式碼中西班牙詩歌的精選片段結合，然後產生 MD5 雜湊值來解密 C2 伺服器位址。

連接到 C2 伺服器後，釋放器會取得後續有效負載，前提是它在 HTTP 請求中提供預先定義的使用者代理字串。對該有效負載的存取受到限制，需要正確的用戶代理或在惡意軟體樣本發布後的有限時間內可用。

同時，木馬化的 Total Commander 安裝程式保留了植入程式的核心功能，但進行了一些更改。它消除了西班牙詩歌字串並添加了進一步的反分析檢查，防止在特定條件下連接到 C2 伺服器，例如存在調試工具、在設定的時間段後缺乏遊標移動、RAM 或磁碟空間不足。

CR4T 採用 C/C++ 編碼，是一種僅內存植入程序，方便攻擊者透過命令列控制台進行存取、執行檔案操作以及與 C2 伺服器交換資料。