Hackers richten zich op regeringen in het Midden-Oosten met ontwijkende ‘CR4T’-achterdeur

Overheidsinstanties in het Midden-Oosten zijn het doelwit geweest als onderdeel van een voorheen ongedocumenteerde campagne om een ​​nieuwe achterdeur te realiseren, genaamd CR4T.

Het Russische cyberbeveiligingsbedrijf Kaspersky zei dat het de activiteit in februari 2024 ontdekte, met aanwijzingen dat het mogelijk al minstens een jaar eerder actief was. De campagne heeft de codenaam gekregen DuinQuixote.

“De groep achter de campagne heeft stappen ondernomen om het verzamelen en analyseren van zijn implantaten te voorkomen en heeft praktische en goed ontworpen ontwijkingsmethoden geïmplementeerd, zowel in de netwerkcommunicatie als in de malwarecode”, aldus Kaspersky.

Het startpunt van de aanval is een dropper, die in twee varianten bestaat: een gewone dropper die is geïmplementeerd als een uitvoerbaar bestand of een DLL-bestand en een gemanipuleerd installatiebestand voor een legitieme tool genaamd Total Commander.

Cyberbeveiliging

Ongeacht de gebruikte methode is de primaire functie van de dropper het extraheren van een ingebed command-and-control (C2)-adres dat wordt gedecodeerd met behulp van een nieuwe techniek om te voorkomen dat het serveradres wordt blootgesteld aan geautomatiseerde malware-analysetools.

Concreet houdt het in dat je de bestandsnaam van de dropper verkrijgt en deze samenvoegt met een van de vele hardgecodeerde fragmenten uit Spaanse gedichten die in de droppercode aanwezig zijn. De malware berekent vervolgens de MD5-hash van de gecombineerde string, die fungeert als de sleutel om het C2-serveradres te decoderen.

De dropper brengt vervolgens verbindingen tot stand met de C2-server en downloadt een payload in de volgende fase nadat hij een hardgecodeerde ID heeft opgegeven als de User-Agent-string in het HTTP-verzoek.

“De payload blijft ontoegankelijk om te downloaden, tenzij de juiste user-agent wordt aangeboden”, aldus Kaspersky. “Bovendien lijkt het erop dat de payload slechts één keer per slachtoffer mag worden gedownload of slechts voor een korte periode beschikbaar is na het vrijgeven van een malwaremonster in het wild.”

Het door een trojan gehackte Total Commander-installatieprogramma vertoont daarentegen enkele verschillen, ondanks dat de hoofdfunctionaliteit van de oorspronkelijke dropper behouden blijft.

Het maakt een einde aan de Spaanse gedichtreeksen en implementeert aanvullende anti-analysecontroles die een verbinding met de C2-server voorkomen als er op het systeem een ​​debugger of een monitoringtool is geïnstalleerd, de positie van de cursor na een bepaalde tijd niet verandert, de hoeveelheid beschikbare RAM is minder dan 8 GB en de schijfcapaciteit is minder dan 40 GB.

CR4T (“CR4T.pdb”) is een op C/C++ gebaseerd implantaat met alleen geheugen dat aanvallers toegang geeft tot een console voor opdrachtregeluitvoering op de geïnfecteerde machine, bestandsbewerkingen uitvoert en bestanden uploadt en downloadt nadat contact is opgenomen met de C2-server.

Kaspersky zei dat het ook een Golang-versie van CR4T heeft opgegraven met identieke functies, naast de mogelijkheid om willekeurige opdrachten uit te voeren en geplande taken te maken met behulp van de Go-ole-bibliotheek.

Bovendien is de Golang CR4T-achterdeur uitgerust om persistentie te bereiken door gebruik te maken van de COM-objectenkapingstechniek en gebruik te maken van de Telegram API voor C2-communicatie.

Cyberbeveiliging

De aanwezigheid van de Golang-variant is een indicatie dat de ongeïdentificeerde dreigingsactoren achter DuneQuixote hun vak actief verfijnen met platformonafhankelijke malware.

“De ‘DuneQuixote’-campagne richt zich op entiteiten in het Midden-Oosten met een interessante reeks tools die zijn ontworpen voor stealth en doorzettingsvermogen”, aldus Kaspersky.

“Door de inzet van implantaten en droppers die alleen geheugen bevatten en zich voordoen als legitieme software, die het installatieprogramma van Total Commander nabootsen, demonstreren de aanvallers bovengemiddelde ontwijkingsmogelijkheden en -technieken.”

Thijs Van der Does