Entidades governamentais no Médio Oriente foram alvo de uma campanha anteriormente não documentada para fornecer uma nova porta dos fundos denominada CR4T.
A empresa russa de segurança cibernética Kaspersky disse que descobriu a atividade em fevereiro de 2024, com evidências sugerindo que ela pode estar ativa há pelo menos um ano. A campanha recebeu o codinome DunaQuixote.
“O grupo por trás da campanha tomou medidas para impedir a recolha e análise dos seus implantes e implementou métodos de evasão práticos e bem concebidos, tanto nas comunicações de rede como no código de malware”, disse Kaspersky.
O ponto de partida do ataque é um dropper, que vem em duas variantes – um dropper common que é implementado como um arquivo executável ou DLL e um arquivo de instalação adulterado para uma ferramenta legítima chamada Complete Commander.
Independentemente do método usado, a função principal do conta-gotas é extrair um endereço de comando e controle (C2) incorporado que é descriptografado usando uma nova técnica para evitar que o endereço do servidor seja exposto a ferramentas automatizadas de análise de malware.
Especificamente, envolve obter o nome do arquivo do conta-gotas e juntá-lo com um dos muitos trechos codificados de poemas espanhóis presentes no código do conta-gotas. O malware então calcula o hash MD5 da string combinada, que atua como a chave para decodificar o endereço do servidor C2.
O dropper posteriormente estabelece conexões com o servidor C2 e baixa uma carga útil de próximo estágio após fornecer um ID codificado como a string Consumer-Agent na solicitação HTTP.
“A carga permanece inacessível para obtain, a menos que o agente de usuário correto seja fornecido”, disse Kaspersky. “Além disso, parece que a carga só pode ser baixada uma vez por vítima ou só está disponível por um breve período após a liberação de uma amostra de malware”.
O instalador trojanizado do Complete Commander, por outro lado, traz algumas diferenças, apesar de manter a funcionalidade principal do conta-gotas authentic.
Elimina as sequências de poemas em espanhol e implementa verificações anti-análise adicionais que impedem a conexão ao servidor C2 caso o sistema tenha um depurador ou uma ferramenta de monitoramento instalada, a posição do cursor não mude após um certo tempo, a quantidade de RAM disponível é inferior a 8 GB e a capacidade do disco é inferior a 40 GB.
CR4T (“CR4T.pdb”) é um implante somente de memória baseado em C/C++ que concede aos invasores acesso a um console para execução de linha de comando na máquina infectada, executa operações de arquivo e carrega e baixa arquivos após entrar em contato com o servidor C2.
A Kaspersky disse que também descobriu uma versão Golang do CR4T com recursos idênticos, além de possuir a capacidade de executar comandos arbitrários e criar tarefas agendadas usando a biblioteca Go-ole.
Além disso, o backdoor Golang CR4T está equipado para obter persistência utilizando a técnica de sequestro de objetos COM e aproveitando a API Telegram para comunicações C2.
A presença da variante Golang é uma indicação de que os atores de ameaças não identificados por trás do DuneQuixote estão refinando ativamente sua habilidade comercial com malware de plataforma cruzada.
“A campanha ‘DuneQuixote’ tem como alvo entidades no Oriente Médio com um conjunto interessante de ferramentas projetadas para serem furtivas e persistentes”, disse Kaspersky.
“Através da implantação de implantes e conta-gotas somente de memória disfarçados de software program legítimo, imitando o instalador do Complete Commander, os invasores demonstram capacidades e técnicas de evasão acima da média”.
