中东政府实体已成为先前未记录的活动的一部分,该活动旨在提供名为 CR4T 的新后门。
俄罗斯网络安全公司卡巴斯基表示,它于 2024 年 2 月发现了该活动,有证据表明该活动可能至少从一年前就开始活跃。该活动的代号为DuneQuixote。
卡巴斯基表示:“该活动背后的组织采取了措施,防止收集和分析其植入程序,并在网络通信和恶意软件代码中实施了实用且精心设计的规避方法。”
攻击的起点是一个植入程序,它有两种变体:一个是作为可执行文件或 DLL 文件实现的常规植入程序,另一个是名为Total Commander 的合法工具的被篡改的安装程序文件。
无论使用哪种方法,植入程序的主要功能都是提取嵌入式命令和控制 (C2) 地址,该地址使用新技术进行解密,以防止服务器地址暴露给自动恶意软件分析工具。
具体来说,它需要获取释放器的文件名,并将其与释放器代码中存在的西班牙诗歌中的许多硬编码片段之一串在一起。然后,恶意软件计算组合字符串的 MD5 哈希值,该哈希值充当解码 C2 服务器地址的密钥。
随后,释放器会与 C2 服务器建立连接,并在提供硬编码 ID 作为 HTTP 请求中的用户代理字符串后下载下一阶段的有效负载。
卡巴斯基表示:“除非提供正确的用户代理,否则有效负载仍然无法下载。” “此外,似乎每个受害者只能下载一次有效负载,或者仅在恶意软件样本发布到野外后的短时间内可用。”
另一方面,木马化的 Total Commander 安装程序尽管保留了原始释放器的主要功能,但仍存在一些差异。
它消除了西班牙诗歌字符串并实施了额外的反分析检查,如果系统安装了调试器或监控工具,则阻止与 C2 服务器的连接,光标的位置在一定时间后不会改变,数量可用 RAM 小于 8 GB,磁盘容量小于 40 GB。
CR4T(“CR4T.pdb”)是一种基于 C/C++ 的纯内存植入程序,允许攻击者访问控制台,以便在受感染的计算机上执行命令行、执行文件操作以及在联系 C2 服务器后上传和下载文件。
卡巴斯基表示,它还发现了具有相同功能的 Golang 版本的 CR4T,此外还具有执行任意命令和使用Go-ole 库创建计划任务的能力。
最重要的是,Golang CR4T 后门可以利用COM 对象劫持技术实现持久性,并利用 Telegram API 进行 C2 通信。
Golang 变体的存在表明,DuneQuixote 背后的身份不明的威胁参与者正在积极利用跨平台恶意软件改进他们的贸易技术。
卡巴斯基表示:“‘DuneQuixote’活动针对中东实体,使用了一系列旨在隐秘和持久的有趣工具。”
“通过部署仅内存植入程序和伪装成合法软件的植入程序,模仿 Total Commander 安装程序,攻击者展示了高于平均水平的规避能力和技术。”
发表评论
您还未登录,请先登录。
登录