Entidades governamentais no Oriente Médio foram alvo de uma campanha anteriormente não documentada para entregar um novo backdoor chamado CR4T.
A empresa russa de cibersegurança Kaspersky disse que descobriu a atividade em fevereiro de 2024, com evidências sugerindo que ela pode ter sido ativa desde pelo menos um ano antes.
A campanha recebeu o codinome DuneQuixote.
"O grupo por trás da campanha tomou medidas para evitar a coleta e análise de seus implantes e implementou métodos de evasão práticos e bem projetados tanto nas comunicações de rede quanto no código do malware," disse a Kaspersky.
O ponto de partida do ataque é um dropper, que vem em duas variantes -- um dropper regular que é implementado como um executável ou um arquivo DLL e um arquivo de instalação adulterado para uma ferramenta legítima chamada Total Commander.
Independentemente do método utilizado, a função principal do dropper é extrair um endereço de command-and-control (C2) embutido, que é descriptografado usando uma técnica inovadora para evitar que o endereço do servidor seja exposto a ferramentas automatizadas de análise de malware.
Especificamente, isso envolve obter o nome do arquivo do dropper e juntá-lo com um dos muitos trechos de poemas em espanhol presentes no código do dropper.
O malware então calcula o hash MD5 da string combinada, que atua como a chave para decodificar o endereço do servidor C2.
O dropper subsequentemente estabelece conexões com o servidor C2 e baixa um payload da próxima fase após fornecer um ID codificado como a string do User-Agent na solicitação HTTP.
"O payload permanece inacessível para download a menos que o user agent correto seja fornecido," disse a Kaspersky.
Além disso, parece que o payload pode ser baixado apenas uma vez por vítima ou está disponível apenas por um breve período após a liberação de uma amostra de malware na natureza. O instalador do Total Commander trojanizado, por outro lado, apresenta algumas diferenças apesar de reter a funcionalidade principal do dropper original.
Ele dispensa os trechos de poemas em espanhol e implementa verificações anti-análise adicionais que impedem uma conexão com o servidor C2 caso o sistema tenha um debugger ou uma ferramenta de monitoramento instalados, a posição do cursor não muda após um certo tempo, a quantidade de RAM disponível é inferior a 8 GB e a capacidade do disco é inferior a 40 GB.
CR4T ("CR4T.pdb") é um implante baseado em C/C++ que só opera na memória e que concede aos atacantes acesso a um console para execução de linha de comando na máquina infectada, realiza operações de arquivo e faz upload e download de arquivos após contatar o servidor C2.
A Kaspersky disse que também descobriu uma versão em Golang do CR4T com recursos idênticos, além de possuir a capacidade de executar comandos arbitrários e criar tarefas agendadas usando a biblioteca Go-ole.
Além disso, o backdoor CR4T em Golang está equipado para alcançar persistência utilizando a técnica de hijacking de objetos COM e aproveitar a API do Telegram para comunicações C2.
A presença da variante em Golang é uma indicação de que os atores de ameaças não identificados por trás de DuneQuixote estão ativamente refinando seu artesanato com malware multiplataforma.
"A campanha 'DuneQuixote' tem como alvo entidades no Oriente Médio com um interessante conjunto de ferramentas projetadas para furtividade e persistência," disse a Kaspersky.
Por meio da implantação de implantes que só operam na memória e droppers disfarçados como software legítimo, imitando o instalador do Total Commander, os atacantes demonstram capacidades e técnicas de evasão acima da média.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...