黑客利用CR4T后门攻击中东政府

无论使用何种方法，滴管的主要功能是提取嵌入式命令和控制(C2)地址，该地址使用一种新技术进行解密，以防止服务器地址暴露给自动恶意软件分析工具。

具体来说，它需要获取dropper的文件名，并将其与dropper代码中出现的许多西班牙诗歌的硬编码片段之一串在一起。然后，恶意软件计算组合字符串的MD5哈希值，作为解码C2服务器地址的密钥。

随后，丢弃器与C2服务器建立连接，并在HTTP请求中提供硬编码ID作为User-Agent字符串后下载下一阶段的有效负载。

卡巴斯基表示:“除非提供正确的用户代理，否则有效载荷仍然无法下载。”“此外，有效载荷似乎只能被每个受害者下载一次，或者只能在恶意软件样本发布后的短时间内可用。”

另一方面，特洛伊化的Total Commander安装程序尽管保留了原始滴管的主要功能，但仍有一些不同之处。

它去掉了西班牙诗歌字符串，并实现了额外的反分析检查，如果系统安装了调试器或监视工具，光标的位置在一段时间后没有改变，可用RAM少于8 GB，磁盘容量少于40 GB，则防止连接到C2服务器。

CR4T(“CR4T.pdb”)是一种基于C/C的仅限内存植入，它允许攻击者访问受感染计算机上的控制台，以便执行命令行，执行文件操作，并在与C2服务器联系后上传和下载文件。

卡巴斯基表示，它还发现了一个具有相同功能的Golang版本的CR4T，除了能够执行任意命令和使用Go-ole库创建计划任务之外。

最重要的是，Golang CR4T后门通过利用COM对象劫持技术和利用Telegram API进行C2通信来实现持久性。

Golang变体的出现表明，DuneQuixote背后的身份不明的威胁行为者正在积极地用跨平台恶意软件改进他们的间谍技术。

卡巴斯基说:“‘DuneQuixote’攻击活动的目标是中东地区的实体，它们使用了一系列有趣的工具，用于隐身和持久攻击。”

“通过部署仅内存的植入物和伪装成合法软件的滴下器，模仿Total Commander安装程序，攻击者展示了高于平均水平的规避能力和技术。”