CR4T-Malware

Regierungsinstitutionen im gesamten Nahen Osten sind zum Ziel einer heimlichen Angriffsoperation geworden, deren Ziel darin besteht, ihre Systeme mit einer bisher unbekannten Hintertür namens CR4T zu infiltrieren. Cybersicherheitsexperten bemerkten diese Aktivität erstmals im Februar 2024, aber Beweise deuten darauf hin, dass sie bereits ein Jahr zuvor begonnen haben könnte. Die Operation wird als DuneQuixote verfolgt. Die Täter haben große Anstrengungen unternommen, um die Erkennung und Untersuchung ihrer bösartigen Implantate zu verhindern, indem sie sowohl in ihrer Netzwerkkommunikation als auch im Design der Malware selbst ausgeklügelte Ausweichtechniken einsetzen.

Die Anfangsphase der DuneQuixote-Angriffskette

Der Angriff beginnt mit einem Dropper, der in zwei Varianten verfügbar ist: einem Standard-Dropper, entweder in ausführbarer oder DLL-Form, und einer manipulierten Installationsdatei für das legitime Tool Total Commander. Unabhängig von der Variante bleibt das Hauptziel des Droppers dasselbe: Er extrahiert eine verschlüsselte Command-and-Control-Adresse (C2) und verwendet dabei eine innovative Entschlüsselungstechnik, um die Serveradresse vor automatisierten Malware-Analysetools zu schützen.

Bei dieser Methode wird der Dateiname des Droppers ermittelt und mit einem von mehreren vordefinierten Auszügen aus spanischen Gedichten verknüpft, die im Code des Droppers eingebettet sind. Anschließend berechnet die Malware den MD5-Hash der kombinierten Zeichenfolge, der als Entschlüsselungsschlüssel für die C2-Serveradresse dient.

Nach der Entschlüsselung stellt der Dropper eine Verbindung mit dem C2-Server her und lädt anschließend eine nachfolgende Nutzlast herunter, während er eine fest codierte ID als User-Agent-Zeichenfolge in der HTTP-Anforderung bereitstellt.

Der Zugriff auf die Nutzlast ist eingeschränkt, sofern nicht der richtige Benutzeragent bereitgestellt wird. Darüber hinaus scheint die Nutzlast nur einmal pro Ziel oder für eine begrenzte Zeit nach der Bereitstellung einer Malware-Probe in freier Wildbahn abrufbar zu sein.

Im Gegensatz dazu weist das mit einem Trojaner infizierte Installationsprogramm von Total Commander mehrere Abweichungen auf, behält aber die Kernfunktionalität des ursprünglichen Droppers bei. Es eliminiert die spanischen Gedichtstrings und führt zusätzliche Anti-Analyse-Maßnahmen ein. Diese Prüfungen verhindern eine Verbindung zum C2-Server, wenn das System ein Debugger- oder Überwachungstool erkennt, wenn der Cursor länger als eine bestimmte Dauer stationär bleibt, wenn der verfügbare RAM weniger als 8 GB beträgt oder wenn die Festplattenkapazität unter 40 GB fällt.

Die CR4T-Malware ermöglicht Angreifern, Befehle auf den infizierten Systemen auszuführen

CR4T ('CR4T.pdb') ist ein reines Speicherimplantat, das in C/C++ geschrieben ist. Es bietet Angreifern Zugriff auf eine Befehlszeilenkonsole, um Befehle auf dem angegriffenen System auszuführen, Dateioperationen durchzuführen und Dateien zum und vom C2-Server zu übertragen. Darüber hinaus haben Forscher eine Golang-Version von CR4T mit ähnlichen Funktionen entdeckt, darunter die Ausführung beliebiger Befehle und die Erstellung geplanter Aufgaben mithilfe der Go-ole-Bibliothek.

Darüber hinaus implementiert die Golang CR4T-Backdoor Persistenz durch COM-Objekt-Hijacking und nutzt die Telegram-API für C2-Kommunikation. Das Auftauchen der Golang-Variante deutet darauf hin, dass die unbekannten Bedrohungsakteure hinter der DuneQuixote-Kampagne ihre Taktiken mit plattformübergreifender Malware aktiv verfeinern.

Die Initiative „DuneQuixote“ konzentriert sich auf Einrichtungen im Nahen Osten und setzt dabei eine Vielzahl von Tools ein, die auf Tarnung und Persistenz abzielen. Die Angreifer zeigen fortgeschrittene Ausweichmöglichkeiten und -techniken, indem sie als legitime Software getarnte Memory-Only-Implantate und Dropper einsetzen, beispielsweise indem sie das Installationsprogramm von Total Commander nachahmen.