در فوریه ۲۰۲۴، محققان شرکت کسپرسکی کمپین DuneQuixote را کشف کردند و اعتقاد دارند که این حملات احتمالاً از سال ۲۰۲۳ آغاز شدهاند. کسپرسکی بیش از ۳۰ نمونه دراپر DuneQuixote و دو نسخه از دراپرهای مختلف که شامل دراپرهای معمولی و فایلهای نصبکنندهای برای ابزار قانونی به نام “Total Commander” بودند، شناسایی کرد.
این دراپرها برای دانلود backdoor با نام “CR4T” به کار رفتهاند. تنها دو نسخه از ایمپلنت CR4T شناسایی شدهاند، اما وجود نسخههای دیگری که ممکن است به طور کاملاً متفاوتی عمل کنند، تأیید نشده است.
عوامل تهدید مرتبط با کمپین DuneQuixote اقداماتی را برای جلوگیری از تجزیهوتحلیل ایمپلنتها از طریق روشهای فرار و با استفاده از طراحیهای پیچیده انجام دادهاند.
دراپر با یک command-and-control (C2) متصل میشود که آدرس آن در کد مخرب رمزگذاری شده است و با استفاده از یک تکنیک منحصربهفرد برای جلوگیری از شناسایی توسط ابزارهای تجزیهوتحلیل بدافزار خودکار، رمزگشایی میشود.
تجزیهوتحلیل انجام شده توسط شرکت Kaspersky نشان میدهد که دراپر اولیه یک فایل اجرایی ویندوز x64 است و نسخههای DLL نیز وجود دارند که عملکرد مشابهی دارند. این بدافزار با استفاده از زبان برنامهنویسی C/C++ بدون استفاده از لایبرری قالب استاندارد (STL) توسعهیافته است و بخشهای خاصی از کد در اسمبلی خالص کدگذاری میشوند. سپس دراپر به رمزگشایی آدرس C2 میپردازد و از یک تکنیک منحصربهفرد طراحی شده برای جلوگیری از شناسایی سیستمهای تجزیهوتحلیل بدافزار خودکار استفاده میکند. این روش ابتدا بازیابی نام فایلی متعلق به ابزار تجزیهوتحلیل بدافزار است را بهعنوان پارامتر ورودی دریافت میکند و سپس با استفاده از الگوریتم خاصی این نام را تغییر میدهد. این عمل باعث میشود تا ابزارهای تجزیهوتحلیل بدافزار بتوانند فایل را بهدرستی تجزیه کنند و محتوای آن را مورد بررسی قرار دهند.
بعد از اتصال به سرور C2، دراپر اقدام به دریافت دستورات از سرور میکند و اطلاعات سیستم را جمعآوری میکند. سپس این اطلاعات بهصورت رمزگذاری شده به سرور ارسال میشود. ازآنجاییکه ارتباط با سرور C2 از طریق پروتکل HTTPS برقرار میشود و اطلاعات رمزگذاری شده استفاده میشود، بررسی شبکهها به دنبال فعالیتهای غیرمعمول در ارتباطات HTTPS میتواند به شناسایی حملات DuneQuixote کمک کند.
به طور خلاصه، کمپین DuneQuixote با استفاده از backdoor CR4T به نهادهای دولتی در خاورمیانه حمله میکند. بررسیهای اولیه نشان میدهد که این حملات از سال ۲۰۲۳ آغاز شدهاند و عوامل تهدید اقداماتی را برای جلوگیری از تجزیهوتحلیل ایمپلنتها انجام دادهاند. تجزیهوتحلیل بیشتر درباره این حملات و backdoor CR4T در حال انجام است تا راهکارهای مقابله با آنها شناسایی شوند.
