DuneQuixote行动利用复杂后门瞄准中东，广泛使用的Total Commander被篡改

黑客组织利用名为 CR4T 的新后门以中东政府实体为目标，这是被追踪为 DuneQuixote 行动的一部分。

卡巴斯基研究人员于 2024 年 2 月发现了 DuneQuixote 活动，但他们认为该活动可能自 2023 年以来就一直活跃。

卡巴斯基发现了该活动中使用的 30 多个 DuneQuixote dropper（滴管）样本。专家们发现了该植入程序的两个版本：常规植入程序（以可执行文件或 DLL 文件的形式）和名为“Total Commander”的合法工具篡改的安装程序文件。

该植入程序被用来下载一个追踪为“CR4T”的后门。专家只检测到两个 CR4T 植入程序，但他们推测存在许多其他变体，这些变体可能是完全不同的恶意软件。

DuneQuixote 活动背后的攻击者采取措施，通过实施实用且精心设计的规避方法来防止收集和分析植入物。

该植入程序连接到嵌入式命令和控制 (C2)，其地址被硬编码在恶意代码中，并使用独特的技术进行解密，以防止其暴露于自动恶意软件分析工具。

“最初的植入程序是一个 Windows x64 可执行文件，尽管也有共享相同功能的恶意软件 DLL 版本。该恶意软件是用 C/C++ 开发的，没有使用标准模板库 (STL)，并且某些片段是用纯汇编程序编码的。”卡巴斯基发布的分析报告（https://securelist.com/dunequixote/112425/）里写道。

“植入程序会继续解密 C2（命令和控制）地址，采用一种独特的技术，旨在防止 C2 暴露于自动恶意软件分析系统。此方法首先检索执行释放器的文件名，然后将该文件名与西班牙诗歌中的硬编码字符串之一连接起来。接下来，释放器会计算连接字符串的 MD5 哈希值，然后将其用作解密 C2 字符串的密钥。”

攻击者在这些函数中使用了由西班牙诗歌摘录组成的字符串。每个样本的字符串都不同，改变了每个样本的签名以避免通过传统方法检测。然后，在执行诱饵函数后，恶意软件会为所需的 API 调用构建一个框架。该框架充满了 Windows API 函数的偏移，通过各种技术解决。

Dropper 计算组合字符串的 MD5 哈希值，并将其用作解码 C2 服务器地址的密钥。然后，Dropper 连接 C2 服务器并下载下一阶段的有效负载。

研究人员注意到，每个受害者只能下载一次有效负载，或者只能在恶意软件样本发布后的短时间内访问该有效负载，因此研究人员无法从活跃的 C2 服务器获取大部分有效负载植入。

Total Commander 安装包植入程序的设计看起来像正版 Total Commander 软件安装程序，但包含其他恶意组件。这些更改使 Total Commander 安装程序的官方数字签名失效。此版本的释放器保留了初始释放器的核心功能，但不包括西班牙语诗歌字符串和诱饵功能。此外，它还结合了反分析措施和检查，以防止连接到 C2 资源。

Total Commander是被广泛使用的优秀文件管理器。

专家们还发现了 CR4T 植入物的 Golang 版本，它与 C 版本具有相似的功能。它包括用于机器交互的命令行控制台、文件下载/上传功能和命令执行功能。值得注意的是，该恶意软件可以使用 Golang Go-ole 库创建计划任务，该库与 Windows 组件对象模型 (COM) 接口以进行任务计划程序服务交互。

该恶意软件通过 COM对象劫持 技术实现持久化。该恶意软件使用 Telegram API 进行 C2 通信，实现公共 Golang Telegram API 绑定。所有交互都与C/C++版本类似。

“‘DuneQuixote’活动针对中东实体，使用了一系列旨在隐秘和持久的有趣工具。通过部署仅内存植入程序和伪装成合法软件的植入程序，模仿 Total Commander 安装程序，攻击者展示了高于平均水平的规避能力和技术。”

报告总结道：“CR4T 植入程序的 C/C++ 和 Golang 版本的发现凸显了此次活动背后的攻击者的灵活性和足智多谋。“

参考链接：

https://securityaffairs.com/162036/hacking/dunequixote-campaign-targets-middle-east.html