Orta Doğu’daki devlet kurumları, CR4T adı verilen yeni bir arka kapı sunmak için daha önce belgelenmemiş bir kampanyanın parçası olarak hedef alındı.
Rus siber güvenlik şirketi Kaspersky, faaliyeti Şubat 2024’te keşfettiğini ve delillerin faaliyetin en az bir yıldan beri aktif olabileceğini öne sürdüğünü söyledi. Kampanya kod adı verildi Kumul Kişot.
Kaspersky, “Kampanyanın arkasındaki grup, implantlarının toplanmasını ve analiz edilmesini önlemek için adımlar attı ve hem ağ iletişiminde hem de kötü amaçlı yazılım kodunda pratik ve iyi tasarlanmış saldırı yöntemleri uyguladı.” dedi.
Saldırının başlangıç noktası, iki çeşidi bulunan bir damlalıktır; çalıştırılabilir bir dosya veya DLL dosyası olarak uygulanan normal bir damlalık ve Total Commander adlı yasal bir araç için değiştirilmiş bir yükleyici dosyası.
Kullanılan yöntem ne olursa olsun, damlalığın birincil işlevi, sunucu adresinin otomatik kötü amaçlı yazılım analiz araçlarına maruz kalmasını önlemek için yeni bir teknik kullanılarak şifresi çözülen gömülü bir komut ve kontrol (C2) adresini çıkarmaktır.
Spesifik olarak, damlalığın dosya adının elde edilmesini ve damlalık kodunda bulunan İspanyolca şiirlerden çok sayıda sabit kodlu parçadan biriyle birlikte dizilmesini gerektirir. Kötü amaçlı yazılım daha sonra birleştirilmiş dizenin MD5 karmasını hesaplar ve bu, C2 sunucu adresinin kodunu çözmek için anahtar görevi görür.
Damlalık daha sonra C2 sunucusuyla bağlantılar kurar ve HTTP isteğinde Kullanıcı Aracısı dizisi olarak sabit kodlanmış bir kimlik sağladıktan sonra bir sonraki aşama veri yükünü indirir.
Kaspersky, “Doğru kullanıcı aracısı sağlanmadığı sürece yük, indirilmek üzere erişilemez durumda” dedi. “Ayrıca, yükün kurban başına yalnızca bir kez indirilebileceği veya kötü amaçlı yazılım örneğinin ortaya çıkmasının ardından yalnızca kısa bir süre boyunca kullanılabildiği görülüyor.”
Öte yandan, truva atı haline getirilmiş Total Commander yükleyicisi, orijinal damlalığın ana işlevselliğini korumasına rağmen birkaç farklılık taşıyor.
İspanyolca şiir dizelerini ortadan kaldırır ve sistemde bir hata ayıklayıcı veya izleme aracı kuruluysa, imlecin konumu belirli bir süre sonra değişmezse, C2 sunucusuna bağlantıyı önleyen ek anti-analiz kontrolleri uygular. Kullanılabilir RAM miktarı 8 GB’tan az ve disk kapasitesi 40 GB’tan az.
CR4T (“CR4T.pdb”), saldırganlara virüslü makinede komut satırı yürütmesi için bir konsola erişim sağlayan, dosya işlemlerini gerçekleştiren ve C2 sunucusuyla iletişime geçtikten sonra dosyaları yükleyip indiren, C/C++ tabanlı, yalnızca bellek içeren bir implanttır.
Kaspersky, CR4T’nin aynı özelliklere sahip, ayrıca Go-ole kütüphanesini kullanarak rastgele komutları yürütme ve zamanlanmış görevler oluşturma yeteneğine sahip bir Golang sürümünü de ortaya çıkardığını söyledi.
Üstelik Golang CR4T arka kapısı, COM nesnelerini ele geçirme tekniğini kullanarak kalıcılık elde edecek ve C2 iletişimleri için Telegram API’sinden yararlanacak şekilde donatılmıştır.
Golang varyantının varlığı, DuneQuixote’nin arkasındaki tanımlanamayan tehdit aktörlerinin ticari becerilerini platformlar arası kötü amaçlı yazılımlarla aktif olarak geliştirdiklerinin bir göstergesi.
Kaspersky, “‘DuneQuixote’ kampanyası, gizlilik ve kalıcılık için tasarlanmış ilginç araçlarla Orta Doğu’daki varlıkları hedefliyor.” dedi.
“Total Commander yükleyicisini taklit eden, yasal yazılım gibi görünen yalnızca bellek implantlarının ve damlalıkların konuşlandırılması yoluyla saldırganlar, ortalamanın üzerinde kaçınma yetenekleri ve teknikleri sergiliyor.”