Hackers στοχεύουν κυβερνητικές οντότητες στη Μέση Ανατολή με σκοπό την παράδοση ενός backdoor με το όνομα CR4T.
Η ρωσική εταιρεία κυβερνοασφάλειας Kaspersky ανακάλυψε την κακόβουλη εκστρατεία τον Φεβρουάριο του 2024, αλλά μπορεί να ξεκίνησε τουλάχιστον ένα χρόνο πριν. Η καμπάνια έχει την κωδική ονομασία DuneQuixote.
“Η ομάδα πίσω από την καμπάνια έλαβε μέτρα για να αποτρέψει τη συλλογή και ανάλυση των implants της και εφάρμοσε πρακτικές και καλά σχεδιασμένες μεθόδους αποφυγής“, είπε η Kaspersky.
Δείτε επίσης: Οι hackers FIN7 στόχευσαν αυτοκινητοβιομηχανία για διανομή του Anunak backdoor
Η επίθεση ξεκινά με ένα dropper, το οποίο διατίθεται σε δύο παραλλαγές:
- ένα κανονικό dropper που υλοποιείται είτε ως εκτελέσιμο είτε ως αρχείο DLL
- ένα παραποιημένο αρχείο εγκατάστασης για ένα νόμιμο εργαλείο που ονομάζεται Total Commander
Και στις δύο περιπτώσεις, το dropper εξάγει ένα ενσωματωμένο command-and-control (C2) address που αποκρυπτογραφείται μέσω μιας νέας τεχνικής, που αποτρέπει την έκθεση της διεύθυνσης διακομιστή σε αυτοματοποιημένα εργαλεία ανάλυσης κακόβουλου λογισμικού.
Στη συνέχεια, το dropper δημιουργεί συνδέσεις με τον διακομιστή C2 και πραγματοποιεί λήψη ενός next-stage payload, αφού παρέχει ένα hard-coded ID ως User-Agent string στο αίτημα HTTP.
Σύμφωνα με την Kaspersky, το payload μπορεί να ληφθεί μόνο μία φορά ανά θύμα ή είναι διαθέσιμο μόνο για μια σύντομη περίοδο.
Το trojanized πρόγραμμα εγκατάστασης Total Commander έχει μερικές διαφορές, παρόλο που διατηρεί την κύρια λειτουργικότητα του αρχικού dropper.
Δείτε επίσης: Οι Ρώσοι hackers Sandworm χρησιμοποιούν το νέο backdoor Kapeka
Στόχος είναι η εγκατάσταση του backdoor CR4T (“CR4T.pdb”), το οποίο δίνει, στους εισβολείς, πρόσβαση σε μια κονσόλα για command line execution στο μολυσμένο μηχάνημα. Επιπλέον, ανεβάζει και λαμβάνει αρχεία μετά από επικοινωνία με τον διακομιστή C2.
Η Kaspersky είπε ότι ανακάλυψε επίσης μια έκδοση Golang του CR4T backdoor με πανομοιότυπα χαρακτηριστικά, μαζί με την ικανότητα εκτέλεσης εντολών και δημιουργίας scheduled tasks χρησιμοποιώντας τη βιβλιοθήκη Go-ole.
Επιπλέον, το CR4T είναι εξοπλισμένο για να επιτυγχάνει persistence χρησιμοποιώντας την τεχνική COM objects hijacking και αξιοποιεί το Telegram API για επικοινωνίες C2.
“Η καμπάνια «DuneQuixote» στοχεύει οντότητες στη Μέση Ανατολή με μια ενδιαφέρουσα σειρά εργαλείων που έχουν σχεδιαστεί για μυστικότητα και persistence“, δήλωσε η Kaspersky.
Προστασία
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το CR4T backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: Η Palo Alto Networks διορθώνει backdoor firewall zero-day
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του CR4T backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com
