Logiciel malveillant CR4T
Les institutions gouvernementales du Moyen-Orient sont devenues la cible d’une opération d’attaque furtive visant à infiltrer leurs systèmes à l’aide d’une porte dérobée jusqu’alors inconnue connue sous le nom de CR4T. Les experts en cybersécurité ont remarqué cette activité pour la première fois en février 2024, mais les preuves suggèrent qu’elle aurait pu commencer dès un an auparavant. L'opération est suivie sous le nom de DuneQuixote. Les auteurs ont déployé de grands efforts pour empêcher la détection et l'examen de leurs implants malveillants, en utilisant des techniques d'évasion sophistiquées à la fois dans leurs communications réseau et dans la conception du logiciel malveillant lui-même.
L'étape initiale de la chaîne d'attaque DuneQuixote
L'attaque commence par un compte-gouttes, disponible en deux variantes : un compte-gouttes standard, sous forme d'exécutable ou de DLL, et un fichier d'installation manipulé pour l'outil légitime, Total Commander. Quelle que soit la variante, l'objectif principal du dropper reste le même : extraire une adresse de commande et de contrôle (C2) cryptée, en utilisant une technique de décryptage innovante pour protéger l'adresse du serveur contre les outils automatisés d'analyse des logiciels malveillants.
Cette méthode consiste à acquérir le nom de fichier du compte-gouttes et à le concaténer avec l'un des nombreux extraits prédéfinis de poèmes espagnols intégrés dans le code du compte-gouttes. Par la suite, le malware calcule le hachage MD5 de la chaîne combinée, qui sert de clé de déchiffrement de l'adresse du serveur C2.
Une fois déchiffré, le compte-gouttes établit des connexions avec le serveur C2, procédant au téléchargement d'une charge utile ultérieure tout en fournissant un identifiant codé en dur comme chaîne User-Agent dans la requête HTTP.
L'accès à la charge utile est restreint à moins que l'agent utilisateur correct ne soit fourni. De plus, il semble que la charge utile ne puisse être récupérée qu’une seule fois par cible ou pendant une durée limitée après le déploiement d’un échantillon de malware dans la nature.
En revanche, le programme d'installation du cheval de Troie Total Commander présente plusieurs variantes tout en conservant les fonctionnalités de base du compte-gouttes d'origine. Il élimine les chaînes de poèmes espagnols et introduit des mesures anti-analyse supplémentaires. Ces vérifications empêchent une connexion au serveur C2 si le système détecte un débogueur ou un outil de surveillance, si le curseur reste stationnaire au-delà d'une durée spécifiée, si la RAM disponible est inférieure à 8 Go ou si la capacité du disque descend en dessous de 40 Go.
Le logiciel malveillant CR4T permet aux attaquants d'exécuter des commandes sur les systèmes infectés
CR4T (« CR4T.pdb ») est un implant mémoire uniquement écrit en C/C++. Il permet aux attaquants d'accéder à une console de ligne de commande pour exécuter des commandes sur le système compromis, effectuer des opérations sur les fichiers et transférer des fichiers vers et depuis le serveur C2. De plus, les chercheurs ont découvert une version Golang de CR4T avec des fonctionnalités similaires, notamment l'exécution de commandes arbitraires et la création de tâches planifiées à l'aide de la bibliothèque Go-ole.
De plus, la porte dérobée Golang CR4T implémente la persistance via le détournement d'objets COM et utilise l'API Telegram pour les communications C2. L'émergence de la variante Golang indique que les auteurs de menaces non identifiés à l'origine de la campagne DuneQuixote affinent activement leurs tactiques avec des logiciels malveillants multiplateformes.
L'initiative « DuneQuixote » se concentre sur les entités du Moyen-Orient, en utilisant une gamme diversifiée d'outils destinés à la furtivité et à la persistance. Les attaquants présentent des capacités et des techniques d'évasion avancées en déployant des implants et des compte-gouttes à mémoire uniquement déguisés en logiciels légitimes, par exemple en imitant le programme d'installation de Total Commander.
