به‌تازگی مهاجمان سایبری یک backdoor جدید به نام CR4T را با عنوان DuneQuixote برای هدف قراردادن نهادهای دولتی در خاورمیانه به کار گرفته‌اند.

60 2 دقیقه قبل خوانده شده

در فوریه ۲۰۲۴، محققان شرکت کسپرسکی کمپین DuneQuixote را کشف کردند و اعتقاد دارند که این حملات احتمالاً از سال ۲۰۲۳ آغاز شده‌اند. کسپرسکی بیش از ۳۰ نمونه دراپر DuneQuixote و دو نسخه از دراپرهای مختلف که شامل دراپرهای معمولی و فایل‌های نصب‌کننده‌ای برای ابزار قانونی به نام “Total Commander” بودند، شناسایی کرد.

این دراپرها برای دانلود backdoor با نام “CR4T” به کار رفته‌اند. تنها دو نسخه از ایمپلنت CR4T شناسایی شده‌اند، اما وجود نسخه‌های دیگری که ممکن است به طور کاملاً متفاوتی عمل کنند، تأیید نشده است.

عوامل تهدید مرتبط با کمپین DuneQuixote اقداماتی را برای جلوگیری از تجزیه‌وتحلیل ایمپلنت‌ها از طریق روش‌های فرار و با استفاده از طراحی‌های پیچیده انجام داده‌اند.

دراپر با یک command-and-control (C2) متصل می‌شود که آدرس آن در کد مخرب رمزگذاری شده است و با استفاده از یک تکنیک منحصربه‌فرد برای جلوگیری از شناسایی توسط ابزارهای تجزیه‌وتحلیل بدافزار خودکار، رمزگشایی می‌شود.

تجزیه‌وتحلیل انجام شده توسط شرکت Kaspersky نشان می‌دهد که دراپر اولیه یک فایل اجرایی ویندوز x64 است و نسخه‌های DLL نیز وجود دارند که عملکرد مشابهی دارند. این بدافزار با استفاده از زبان برنامه‌نویسی C/C++ بدون استفاده از لایبرری قالب استاندارد (STL) توسعه‌یافته است و بخش‌های خاصی از کد در اسمبلی خالص کدگذاری می‌شوند. سپس دراپر به رمزگشایی آدرس C2 می‌پردازد و از یک تکنیک منحصربه‌فرد طراحی شده برای جلوگیری از شناسایی سیستم‌های تجزیه‌وتحلیل بدافزار خودکار استفاده می‌کند. این روش ابتدا بازیابی نام فایلی متعلق به ابزار تجزیه‌وتحلیل بدافزار است را به‌عنوان پارامتر ورودی دریافت می‌کند و سپس با استفاده از الگوریتم خاصی این نام را تغییر می‌دهد. این عمل باعث می‌شود تا ابزارهای تجزیه‌وتحلیل بدافزار بتوانند فایل را به‌درستی تجزیه کنند و محتوای آن را مورد بررسی قرار دهند.

بعد از اتصال به سرور C2، دراپر اقدام به دریافت دستورات از سرور می‌کند و اطلاعات سیستم را جمع‌آوری می‌کند. سپس این اطلاعات به‌صورت رمزگذاری شده به سرور ارسال می‌شود. ازآنجایی‌که ارتباط با سرور C2 از طریق پروتکل HTTPS برقرار می‌شود و اطلاعات رمزگذاری شده استفاده می‌شود، بررسی شبکه‌ها به دنبال فعالیت‌های غیرمعمول در ارتباطات HTTPS می‌تواند به شناسایی حملات DuneQuixote کمک کند.

به طور خلاصه، کمپین DuneQuixote با استفاده از backdoor CR4T به نهادهای دولتی در خاورمیانه حمله می‌کند. بررسی‌های اولیه نشان می‌دهد که این حملات از سال ۲۰۲۳ آغاز شده‌اند و عوامل تهدید اقداماتی را برای جلوگیری از تجزیه‌وتحلیل ایمپلنت‌ها انجام داده‌اند. تجزیه‌وتحلیل بیشتر درباره این حملات و backdoor CR4T در حال انجام است تا راهکارهای مقابله با آنها شناسایی شوند.

برچسب ها