Las entidades gubernamentales en el Medio Oriente han sido atacadas como parte de una campaña previamente indocumentada para implementar una nueva puerta trasera denominada CR4T.
La empresa rusa de ciberseguridad Kaspersky dijo que descubrió la actividad en febrero de 2024, y la evidencia sugiere que puede haber estado activa desde al menos un año antes. La campaña tiene el nombre en clave. DunaQuijote.
«El grupo detrás de la campaña tomó medidas para evitar la recopilación y el análisis de sus implantes e implementó métodos de evasión prácticos y bien diseñados tanto en las comunicaciones de red como en el código de malware», Kaspersky dicho.
El punto de partida del ataque es un dropper, que viene en dos variantes: un dropper normal que se implementa como un ejecutable o un archivo DLL y un archivo instalador manipulado para una herramienta legítima llamada Comandante total.
Independientemente del método utilizado, la función principal del dropper es extraer una dirección de comando y control (C2) integrada que se descifra utilizando una técnica novedosa para evitar que la dirección del servidor quede expuesta a herramientas automatizadas de análisis de malware.
Específicamente, implica obtener el nombre de archivo del cuentagotas y unirlo con uno de los muchos fragmentos codificados de poemas en español presentes en el código del cuentagotas. Luego, el malware calcula el hash MD5 de la cadena combinada, que actúa como clave para decodificar la dirección del servidor C2.
Posteriormente, el dropper establece conexiones con el servidor C2 y descarga una carga útil de la siguiente etapa después de proporcionar una identificación codificada como cadena de usuario-agente en la solicitud HTTP.
«La carga útil permanece inaccesible para su descarga a menos que se proporcione el agente de usuario correcto», dijo Kaspersky. «Además, parece que la carga útil sólo puede descargarse una vez por víctima o sólo está disponible durante un breve período tras la liberación de una muestra de malware».
El instalador troyanizado de Total Commander, por otro lado, presenta algunas diferencias a pesar de conservar la funcionalidad principal del cuentagotas original.
Elimina las cadenas de poemas en español e implementa controles anti-análisis adicionales que impiden una conexión al servidor C2. Si el sistema tiene instalado un depurador o una herramienta de monitoreo, la posición del cursor no cambia después de un cierto tiempo, la cantidad La cantidad de RAM disponible es inferior a 8 GB y la capacidad del disco es inferior a 40 GB.
CR4T («CR4T.pdb») es un implante de memoria basado únicamente en C/C++ que otorga a los atacantes acceso a una consola para la ejecución de la línea de comandos en la máquina infectada, realiza operaciones con archivos y carga y descarga archivos después de contactar con el servidor C2.
Kaspersky dijo que también descubrió una versión Golang de CR4T con características idénticas, además de poseer la capacidad de ejecutar comandos arbitrarios y crear tareas programadas usando el biblioteca go-ole.
Además de eso, la puerta trasera Golang CR4T está equipada para lograr persistencia utilizando el Técnica de secuestro de objetos COM y aprovechar la API de Telegram para comunicaciones C2.
La presencia de la variante Golang es una indicación de que los actores de amenazas no identificados detrás de DuneQuixote están refinando activamente su oficio con malware multiplataforma.
«La campaña ‘DuneQuixote’ apunta a entidades en Medio Oriente con una interesante variedad de herramientas diseñadas para el sigilo y la persistencia», dijo Kaspersky.
«A través del despliegue de implantes de memoria y goteros disfrazados de software legítimo, imitando al instalador de Total Commander, los atacantes demuestran capacidades y técnicas de evasión superiores a la media».
