Državni subjekti na Bliskom istoku bili su na meti kao dio ranije nedokumentovane kampanje za isporuku novog backdoor-a nazvanog CR4T.
Ruska kompanija za sajber bezbjednost Kaspersky saopštila je da je otkrila aktivnost u februaru 2024. godine, a dokazi sugerišu da je možda bila aktivna najmanje godinu dana ranije. Kampanja je dobila kodni naziv DuneQuixote.
“Grupa koja stoji iza kampanje preduzela je korake da spriječi prikupljanje i analizu svojih implantata i implementirala je praktične i dobro osmišljene metode izbjegavanja kako u mrežnoj komunikaciji tako i u kodu zlonamjernog softvera”, rekao je Kaspersky.
Polazna tačka napada je dropper, koji dolazi u dve varijante – običan dropper koji je ili implementiran kao izvršni ili DLL fajl i neovlašćena instalaciona datoteka za legitimni alat pod nazivom Total Commander.
Bez obzira na metodu koja se koristi, primarna funkcija droppera je da ekstrahuje ugrađenu adresu za komandu i kontrolu (C2) koja je dešifrovana upotrebom nove tehnike kako bi se spriječilo da adresa servera bude izložena automatizovanim alatima za analizu malvera. Konkretno, to podrazumijeva dobivanje imena datoteke droppera i njegovo spajanje s jednim od mnogih tvrdo kodiranih isječaka iz španskih pjesama prisutnih u dropper kodu. Malver tada izračunava MD5 hash kombinovanog niza, koji djeluje kao ključ za dekodiranje adrese C2 servera.
Dropper naknadno uspostavlja veze sa C2 serverom i preuzima sljedeću fazu korisnog opterećenja nakon što u HTTP zahtjevu pruži tvrdo kodirani ID kao niz User-Agent.
„Korisni teret ostaje nedostupan za preuzimanje osim ako se ne obezbjedi ispravan korisnički agent“, rekao je Kaspersky. „Štaviše, čini se da se korisni teret može preuzeti samo jednom po žrtvi ili je dostupan samo kratko vrijeme nakon puštanja uzorka malvera u okruženje.“
Trojanizovani instalacijski program Total Commandera, s druge strane, ima nekoliko razlika uprkos tome što je zadržao glavnu funkcionalnost originalnog droppera.
Uklanja nizove španske pjesme i implementira dodatne provjere anti-analize koje sprječavaju vezu sa C2 serverom ako sistem ima instaliran program za otklanjanje grešaka ili alat za praćenje, pozicija kursora se ne mijenja nakon određenog vremena, količina dostupnog RAM-a je manje od 8 GB, a kapacitet diska je manji od 40 GB.
CR4T („CR4T.pdb“) je C/C++-bazirani samo memorijski implant koji napadačima daje pristup konzoli za izvršavanje komandne linije na zaraženoj mašini, obavlja operacije datoteka, te otprema i preuzima datoteke nakon kontaktiranja C2 servera.
Kaspersky je rekao da je takođe otkrio Golang verziju CR4T sa identičnim karakteristikama, pored toga što posjeduje mogućnost izvršavanja proizvoljnih komandi i kreiranja zakazanih zadataka koristeći Go-ole biblioteku.
Povrh toga, Golang CR4T backdoor je opremljen za postizanje postojanosti korištenjem tehnike otmice COM objekata i korištenjem Telegram API-ja za C2 komunikaciju.
Prisustvo Golang varijante je indikacija da neidentifikovani hakeri koji stoje iza DuneQuixotea aktivno usavršavaju svoju trgovinu malverom za različite platforme.
„Kampanja ‘DuneQuixote’ cilja entitete na Bliskom istoku sa zanimljivim nizom alata dizajniranih za prikrivenost i upornost,” rekao je Kaspersky.
“Kroz implementaciju samo memorijskih implantata i dropper-a koji se maskiraju kao legitimni softver, oponašajući instalater Total Commandera, napadači demonstriraju natprosječne sposobnosti i tehnike izbjegavanja.”
Izvor: The Hacker News
