Các cơ quan chính phủ ở Trung Đông đã bị nhắm mục tiêu như một phần của chiến dịch không có giấy tờ trước đây để cung cấp một cửa hậu mới có tên CR4T.
Công ty an ninh mạng Kaspersky của Nga cho biết họ đã phát hiện ra hoạt động này vào tháng 2/2024, với bằng chứng cho thấy nó có thể đã hoạt động từ ít nhất một năm trước đó. Chiến dịch có tên mã là DuneQuixote.
"Nhóm đứng sau chiến dịch đã thực hiện các bước để ngăn chặn việc thu thập và phân tích cấy ghép của nó và thực hiện các phương pháp trốn tránh thực tế và được thiết kế tốt cả trong truyền thông mạng và mã độc hại", Kaspersky cho biết.
Điểm khởi đầu của cuộc tấn công là một dropper, có hai biến thể - một dropper thông thường được triển khai dưới dạng tệp thực thi hoặc tệp DLL và tệp trình cài đặt bị giả mạo cho một công cụ hợp pháp có tên Total Commander.
Bất kể phương pháp nào được sử dụng, chức năng chính của trình nhỏ giọt là trích xuất địa chỉ lệnh và kiểm soát nhúng (C2) được giải mã bằng kỹ thuật mới để ngăn địa chỉ máy chủ tiếp xúc với các công cụ phân tích phần mềm độc hại tự động.
Cụ thể, nó đòi hỏi phải lấy tên tệp của ống nhỏ giọt và xâu chuỗi nó lại với nhau bằng một trong nhiều đoạn mã hóa cứng từ các bài thơ tiếng Tây Ban Nha có trong mã nhỏ giọt. Phần mềm độc hại sau đó tính toán hàm băm MD5 của chuỗi kết hợp, hoạt động như chìa khóa để giải mã địa chỉ máy chủ C2.
Trình nhỏ giọt sau đó thiết lập kết nối với máy chủ C2 và tải xuống tải trọng giai đoạn tiếp theo sau khi cung cấp ID được mã hóa cứng làm chuỗi Tác nhân người dùng trong yêu cầu HTTP.
"Tải trọng vẫn không thể truy cập để tải xuống trừ khi tác nhân người dùng chính xác được cung cấp", Kaspersky cho biết. "Hơn nữa, có vẻ như tải trọng chỉ có thể được tải xuống một lần cho mỗi nạn nhân hoặc chỉ có sẵn trong một thời gian ngắn sau khi phát hành mẫu phần mềm độc hại vào tự nhiên."
Mặt khác, trình cài đặt Total Commander bị trojan hóa mang một vài khác biệt mặc dù vẫn giữ chức năng chính của trình nhỏ giọt ban đầu.
Nó loại bỏ các chuỗi bài thơ tiếng Tây Ban Nha và thực hiện các kiểm tra chống phân tích bổ sung ngăn kết nối với máy chủ C2 nếu hệ thống đã cài đặt trình gỡ lỗi hoặc công cụ giám sát, vị trí của con trỏ không thay đổi sau một thời gian nhất định, dung lượng RAM có sẵn dưới 8 GB và dung lượng đĩa nhỏ hơn 40 GB.
CR4T ("CR4T.pdb") là bộ nhớ cấy ghép chỉ dựa trên C / C ++ cho phép kẻ tấn công truy cập vào bảng điều khiển để thực thi dòng lệnh trên máy bị nhiễm, thực hiện các thao tác tệp và tải lên và tải xuống tệp sau khi liên hệ với máy chủ C2.
Kaspersky cho biết họ cũng đã khai quật được phiên bản Golang của CR4T với các tính năng giống hệt nhau, ngoài việc sở hữu khả năng thực hiện các lệnh tùy ý và tạo các tác vụ theo lịch trình bằng thư viện Go-ole.
Sự hiện diện của biến thể Golang là một dấu hiệu cho thấy các tác nhân đe dọa không xác định đằng sau DuneQuixote đang tích cực tinh chỉnh thương mại của họ bằng phần mềm độc hại đa nền tảng.
"Chiến dịch 'DuneQuixote' nhắm vào các thực thể ở Trung Đông với một loạt các công cụ thú vị được thiết kế để tàng hình và bền bỉ", Kaspersky cho biết.
"Thông qua việc triển khai cấy ghép và ống nhỏ giọt chỉ có bộ nhớ giả mạo là phần mềm hợp pháp, bắt chước trình cài đặt Total Commander, những kẻ tấn công thể hiện khả năng và kỹ thuật trốn tránh trên mức trung bình."