CR4T-Malware in DuneQuixote-Kampagne verwendet
Regierungsstellen im Nahen Osten sind in den Fokus einer nicht näher genannten Operation geraten, deren Ziel die Einführung eines neuen geheimen Zugangspunkts namens CR4T ist.
Laut Cybersicherheitsforschern wurde diese Aktivität im Februar 2024 entdeckt, was darauf hindeutet, dass die Aktivität mindestens ein Jahr zurückreicht. Die Kampagne mit dem Namen DuneQuixote wurde mit Taktiken durchgeführt, die darauf abzielten, Erkennung und Analyse sowohl in Kommunikationskanälen als auch innerhalb der Malware selbst zu verhindern.
CR4T-Angriffskette
Der Angriff beginnt mit einem Dropper, der in zwei Formen verfügbar ist: als Standard-Ausführungsdatei bzw. DLL-Datei und als modifiziertes Installationsprogramm für das legitime Tool Total Commander. Unabhängig von der Variante besteht die Hauptaufgabe des Droppers darin, eine verschlüsselte Command-and-Control-Adresse (C2) zu extrahieren. Dabei wird eine innovative Methode verwendet, um den Standort des Servers zu verschleiern und so eine einfache Erkennung durch automatisierte Analysetools zu verhindern.
Bei diesem Vorgang wird der Dateiname des Droppers mit ausgewählten Ausschnitten aus spanischen Gedichten im Code kombiniert und anschließend ein MD5-Hash generiert, um die C2-Serveradresse zu entschlüsseln.
Sobald eine Verbindung zum C2-Server besteht, ruft der Dropper eine nachfolgende Nutzlast ab, sofern er in der HTTP-Anforderung eine vordefinierte User-Agent-Zeichenfolge präsentiert. Der Zugriff auf diese Nutzlast ist eingeschränkt und erfordert den richtigen User-Agent oder ist für eine begrenzte Zeit nach der Veröffentlichung des Malware-Beispiels verfügbar.
Das mit Trojanern infizierte Installationsprogramm von Total Commander behält die Kernfunktion des Droppers bei, enthält jedoch Änderungen. Es entfernt die spanischen Gedichte und fügt weitere Anti-Analyse-Prüfungen hinzu, die unter bestimmten Bedingungen Verbindungen zum C2-Server verhindern, beispielsweise bei Vorhandensein von Debugging-Tools, fehlender Cursorbewegung nach einer festgelegten Zeit oder unzureichendem RAM oder Festplattenspeicher.
CR4T, codiert in C/C++, ist ein reines Speicherimplantat, das Angreifern den Zugriff über eine Befehlszeilenkonsole ermöglicht, Dateioperationen ausführt und Daten mit dem C2-Server austauscht.