CR4T マルウェア

中東全域の政府機関が、CR4T として知られるこれまで知られていなかったバックドアを使ってシステムに侵入することを目的としたステルス攻撃作戦の標的となっている。サイバーセキュリティの専門家が最初にこの活動に気づいたのは 2024 年 2 月だったが、証拠から、その 1 年前にはすでに始まっていた可能性があることがわかる。この作戦は DuneQuixote として追跡されている。犯人は、ネットワーク通信とマルウェア自体の設計の両方で高度な回避技術を採用し、悪意のあるインプラントの検出と調査を阻止するためにあらゆる手段を講じている。

DuneQuixote 攻撃チェーンの初期段階

攻撃はドロッパーで始まります。ドロッパーには、実行可能ファイルまたは DLL 形式の標準ドロッパーと、正規ツール Total Commander の改ざんされたインストーラー ファイルの 2 つのバリエーションがあります。どのバリエーションであっても、ドロッパーの主な目的は一貫しています。革新的な復号化技術を使用して、暗号化されたコマンド アンド コントロール (C2) アドレスを抽出し、自動マルウェア分析ツールからサーバー アドレスを保護することです。

この方法では、ドロッパーのファイル名を取得し、ドロッパーのコードに埋め込まれたスペイン語の詩のいくつかの事前定義された抜粋の 1 つと連結します。その後、マルウェアは結合された文字列の MD5 ハッシュを計算し、これが C2 サーバー アドレスの復号化キーとして機能します。

復号化されると、ドロッパーは C2 サーバーとの接続を確立し、HTTP リクエストの User-Agent 文字列としてハードコードされた ID を提供しながら、後続のペイロードのダウンロードを続行します。

正しいユーザー エージェントが提供されない限り、ペイロードへのアクセスは制限されます。さらに、ペイロードはターゲットごとに 1 回のみ、またはマルウェア サンプルが実際に展開された後の限られた期間のみ取得可能である可能性があります。

対照的に、トロイの木馬化された Total Commander インストーラーは、元のドロッパーのコア機能を維持しながら、いくつかのバリエーションを示しています。スペイン語の詩の文字列が削除され、追加の分析防止対策が導入されています。これらのチェックにより、システムがデバッガーまたは監視ツールを検出した場合、カーソルが指定された時間を超えて静止している場合、使用可能な RAM が 8 GB 未満の場合、またはディスク容量が 40 GB 未満になった場合に、C2 サーバーへの接続が防止されます。

CR4Tマルウェアは、攻撃者が感染したシステム上でコマンドを実行できるようにする

CR4T ('CR4T.pdb') は、C/C++ で書かれたメモリ専用のインプラントです。これにより、攻撃者はコマンドライン コンソールにアクセスして、侵害されたシステムでコマンドを実行したり、ファイル操作を行ったり、C2 サーバーとの間でファイルを転送したりできます。さらに、研究者は、任意のコマンドの実行や Go-ole ライブラリを使用したスケジュールされたタスクの作成など、同様の機能を備えた CR4T の Golang バージョンを発見しました。

さらに、Golang CR4T バックドアは COM オブジェクト ハイジャックを通じて永続性を実装し、C2 通信に Telegram API を利用します。Golang バリアントの出現は、DuneQuixote キャンペーンの背後にいる正体不明の脅威アクターがクロスプラットフォーム マルウェアを使用して戦術を積極的に改良していることを示しています。

「DuneQuixote」の取り組みは中東の組織に焦点を合わせており、ステルス性と持続性を目的としたさまざまなツールを採用しています。攻撃者は、Total Commander インストーラーを模倣するなど、正規のソフトウェアに偽装したメモリのみのインプラントやドロッパーを展開することで、高度な回避機能とテクニックを披露しています。