黑客利用CR4T后门攻击中东政府

admin 2024年4月22日02:05:47评论8 views字数 1165阅读3分53秒阅读模式

东地区的政府机构已成为攻击目标,这是一项此前未被记录的行动的一部分,目的是提供一种名为CR4T的新后门。

俄罗斯网络安全公司卡巴斯基表示,他们在2024年2月发现了这一活动,有证据表明,它可能至少在一年前就开始活动了。该运动的代号为“DuneQuixote”。

卡巴斯基表示:“该组织采取措施防止对其植入程序的收集和分析,并在网络通信和恶意软件代码中实施了实用且设计良好的规避方法。”

攻击的起点是一个dropper,它有两种变体——一个是作为可执行文件或DLL文件实现的常规dropper,另一个是名为Total Commander的合法工具的篡改安装文件。

无论使用何种方法,滴管的主要功能是提取嵌入式命令和控制(C2)地址,该地址使用一种新技术进行解密,以防止服务器地址暴露给自动恶意软件分析工具。

具体来说,它需要获取dropper的文件名,并将其与dropper代码中出现的许多西班牙诗歌的硬编码片段之一串在一起。然后,恶意软件计算组合字符串的MD5哈希值,作为解码C2服务器地址的密钥。

随后,丢弃器与C2服务器建立连接,并在HTTP请求中提供硬编码ID作为User-Agent字符串后下载下一阶段的有效负载。

卡巴斯基表示:“除非提供正确的用户代理,否则有效载荷仍然无法下载。”“此外,有效载荷似乎只能被每个受害者下载一次,或者只能在恶意软件样本发布后的短时间内可用。”

另一方面,特洛伊化的Total Commander安装程序尽管保留了原始滴管的主要功能,但仍有一些不同之处。

它去掉了西班牙诗歌字符串,并实现了额外的反分析检查,如果系统安装了调试器或监视工具,光标的位置在一段时间后没有改变,可用RAM少于8 GB,磁盘容量少于40 GB,则防止连接到C2服务器。

CR4T(“CR4T.pdb”)是一种基于C/C的仅限内存植入,它允许攻击者访问受感染计算机上的控制台,以便执行命令行,执行文件操作,并在与C2服务器联系后上传和下载文件。

卡巴斯基表示,它还发现了一个具有相同功能的Golang版本的CR4T,除了能够执行任意命令和使用Go-ole库创建计划任务之外。

最重要的是,Golang CR4T后门通过利用COM对象劫持技术和利用Telegram API进行C2通信来实现持久性。

Golang变体的出现表明,DuneQuixote背后的身份不明的威胁行为者正在积极地用跨平台恶意软件改进他们的间谍技术。

卡巴斯基说:“‘DuneQuixote’攻击活动的目标是中东地区的实体,它们使用了一系列有趣的工具,用于隐身和持久攻击。”

“通过部署仅内存的植入物和伪装成合法软件的滴下器,模仿Total Commander安装程序,攻击者展示了高于平均水平的规避能力和技术。”

原文始发于微信公众号(HackSee):黑客利用“CR4T”后门攻击中东政府

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日02:05:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用CR4T后门攻击中东政府https://cn-sec.com/archives/2676122.html

发表评论

匿名网友 填写信息