Правительственные организации на Ближнем Востоке стали мишенью в рамках ранее недокументированной кампании по внедрению нового бэкдора, получившего название CR4T.
Российская компания по кибербезопасности Kaspersky заявила, что обнаружила эту активность в феврале 2024 года, и есть доказательства, свидетельствующие о том, что она могла быть активна как минимум год назад. Кампания получила кодовое название DuneQuixote.
"Группа, стоящая за кампанией, предприняла шаги по предотвращению сбора и анализа своих имплантатов и внедрила практичные и хорошо продуманные методы уклонения как в сетевых коммуникациях, так и в коде вредоносного ПО", - сказал Касперский.
Отправной точкой атаки является дроппер, который поставляется в двух вариантах - обычный дроппер, реализованный либо в виде исполняемого файла, либо в виде DLL-файла, и подделанный установочный файл для законного инструмента под названием Total Commander.
Независимо от используемого метода, основной функцией дроппера является извлечение встроенного командно-контрольного адреса (C2), который расшифровывается с использованием новой технологии, предотвращающей попадание адреса сервера в автоматизированные инструменты анализа вредоносного ПО.
В частности, это предполагает получение имени файла dropper и соединение его с одним из многих жестко закодированных фрагментов из испанских стихотворений, присутствующих в коде dropper. Затем вредоносная программа вычисляет MD5-хэш комбинированной строки, которая действует как ключ для декодирования адреса сервера C2.
Впоследствии дроппер устанавливает соединения с сервером C2 и загружает полезную нагрузку следующего этапа после предоставления жестко закодированного идентификатора в качестве строки агента пользователя в HTTP-запросе.
"Полезная нагрузка остается недоступной для загрузки, если не предоставлен правильный пользовательский агент", - сказал Касперский. "Более того, похоже, что полезная нагрузка может быть загружена только один раз для каждой жертвы или доступна только в течение короткого периода времени после выпуска образца вредоносного ПО в открытый доступ".
С другой стороны, троянский установщик Total Commander имеет несколько отличий, несмотря на сохранение основной функциональности оригинального дроппера.
Он устраняет строки Spanish poem и реализует дополнительные проверки антианализа, которые предотвращают подключение к серверу C2, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется по истечении определенного времени, объем доступной оперативной памяти составляет менее 8 ГБ, а емкость диска - менее 40 ГБ.
CR4T ("CR4T.pdb") - это имплантат только для памяти на базе C / C ++, который предоставляет злоумышленникам доступ к консоли для выполнения командной строки на зараженной машине, выполняет файловые операции и загружает файлы после обращения к серверу C2.
Kaspersky сообщил, что также обнаружил версию CR4T на Golang с идентичными функциями, в дополнение к возможности выполнять произвольные команды и создавать запланированные задачи с помощью библиотеки Go-ole.
Кроме того, бэкдор Golang CR4T оснащен для обеспечения устойчивости за счет использования техники взлома COM-объектов и использования Telegram API для связи C2.
Наличие варианта Golang указывает на то, что неизвестные субъекты угрозы, стоящие за DuneQuixote, активно совершенствуют свои навыки с помощью кроссплатформенного вредоносного ПО.
"Кампания "DuneQuixote" нацелена на организации на Ближнем Востоке с помощью интересного набора инструментов, разработанных для скрытности и настойчивости", - сказал Касперский.
"Благодаря внедрению имплантатов только для памяти и капельниц, маскирующихся под законное программное обеспечение, имитирующее установщик Total Commander, злоумышленники демонстрируют возможности и методы уклонения выше среднего".
Российская компания по кибербезопасности Kaspersky заявила, что обнаружила эту активность в феврале 2024 года, и есть доказательства, свидетельствующие о том, что она могла быть активна как минимум год назад. Кампания получила кодовое название DuneQuixote.
"Группа, стоящая за кампанией, предприняла шаги по предотвращению сбора и анализа своих имплантатов и внедрила практичные и хорошо продуманные методы уклонения как в сетевых коммуникациях, так и в коде вредоносного ПО", - сказал Касперский.
Отправной точкой атаки является дроппер, который поставляется в двух вариантах - обычный дроппер, реализованный либо в виде исполняемого файла, либо в виде DLL-файла, и подделанный установочный файл для законного инструмента под названием Total Commander.
Независимо от используемого метода, основной функцией дроппера является извлечение встроенного командно-контрольного адреса (C2), который расшифровывается с использованием новой технологии, предотвращающей попадание адреса сервера в автоматизированные инструменты анализа вредоносного ПО.
В частности, это предполагает получение имени файла dropper и соединение его с одним из многих жестко закодированных фрагментов из испанских стихотворений, присутствующих в коде dropper. Затем вредоносная программа вычисляет MD5-хэш комбинированной строки, которая действует как ключ для декодирования адреса сервера C2.
Впоследствии дроппер устанавливает соединения с сервером C2 и загружает полезную нагрузку следующего этапа после предоставления жестко закодированного идентификатора в качестве строки агента пользователя в HTTP-запросе.
"Полезная нагрузка остается недоступной для загрузки, если не предоставлен правильный пользовательский агент", - сказал Касперский. "Более того, похоже, что полезная нагрузка может быть загружена только один раз для каждой жертвы или доступна только в течение короткого периода времени после выпуска образца вредоносного ПО в открытый доступ".
С другой стороны, троянский установщик Total Commander имеет несколько отличий, несмотря на сохранение основной функциональности оригинального дроппера.
Он устраняет строки Spanish poem и реализует дополнительные проверки антианализа, которые предотвращают подключение к серверу C2, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется по истечении определенного времени, объем доступной оперативной памяти составляет менее 8 ГБ, а емкость диска - менее 40 ГБ.
CR4T ("CR4T.pdb") - это имплантат только для памяти на базе C / C ++, который предоставляет злоумышленникам доступ к консоли для выполнения командной строки на зараженной машине, выполняет файловые операции и загружает файлы после обращения к серверу C2.
Kaspersky сообщил, что также обнаружил версию CR4T на Golang с идентичными функциями, в дополнение к возможности выполнять произвольные команды и создавать запланированные задачи с помощью библиотеки Go-ole.
Кроме того, бэкдор Golang CR4T оснащен для обеспечения устойчивости за счет использования техники взлома COM-объектов и использования Telegram API для связи C2.
Наличие варианта Golang указывает на то, что неизвестные субъекты угрозы, стоящие за DuneQuixote, активно совершенствуют свои навыки с помощью кроссплатформенного вредоносного ПО.
"Кампания "DuneQuixote" нацелена на организации на Ближнем Востоке с помощью интересного набора инструментов, разработанных для скрытности и настойчивости", - сказал Касперский.
"Благодаря внедрению имплантатов только для памяти и капельниц, маскирующихся под законное программное обеспечение, имитирующее установщик Total Commander, злоумышленники демонстрируют возможности и методы уклонения выше среднего".
