DuneQuixote 行动利用复杂后门瞄准中东,广泛使用的 Total Commander 被篡改

黑客组织利用名为 CR4T 的新后门以中东政府实体为目标,这是被追踪为 DuneQuixote 行动的一部分。

微信图片_20240422101956

卡巴斯基研究人员于 2024 年 2 月发现了 DuneQuixote 活动,但他们认为该活动可能自 2023 年以来就一直活跃。

卡巴斯基发现了该活动中使用的 30 多个 DuneQuixote dropper(滴管)样本。专家们发现了该植入程序的两个版本:常规植入程序(以可执行文件或 DLL 文件的形式)和名为“Total Commander”的合法工具篡改的安装程序文件。

微信图片_20240422102025

该植入程序被用来下载一个追踪为“CR4T”的后门。专家只检测到两个 CR4T 植入程序,但他们推测存在许多其他变体,这些变体可能是完全不同的恶意软件。

DuneQuixote 活动背后的攻击者采取措施,通过实施实用且精心设计的规避方法来防止收集和分析植入物。

该植入程序连接到嵌入式命令和控制 (C2),其地址被硬编码在恶意代码中,并使用独特的技术进行解密,以防止其暴露于自动恶意软件分析工具。

“最初的植入程序是一个 Windows x64 可执行文件,尽管也有共享相同功能的恶意软件 DLL 版本。该恶意软件是用 C/C++ 开发的,没有使用标准模板库 (STL),并且某些片段是用纯汇编程序编码的。”卡巴斯基发布的分析报告里写道。

“植入程序会继续解密 C2(命令和控制)地址,采用一种独特的技术,旨在防止 C2 暴露于自动恶意软件分析系统。此方法首先检索执行释放器的文件名,然后将该文件名与西班牙诗歌中的硬编码字符串之一连接起来。接下来,释放器会计算连接字符串的 MD5 哈希值,然后将其用作解密 C2 字符串的密钥。”

攻击者在这些函数中使用了由西班牙诗歌摘录组成的字符串。每个样本的字符串都不同,改变了每个样本的签名以避免通过传统方法检测。然后,在执行诱饵函数后,恶意软件会为所需的 API 调用构建一个框架。该框架充满了 Windows API 函数的偏移,通过各种技术解决。

Dropper 计算组合字符串的 MD5 哈希值,并将其用作解码 C2 服务器地址的密钥。然后,Dropper 连接 C2 服务器并下载下一阶段的有效负载。

研究人员注意到,每个受害者只能下载一次有效负载,或者只能在恶意软件样本发布后的短时间内访问该有效负载,因此研究人员无法从活跃的 C2 服务器获取大部分有效负载植入。

Total Commander 安装包植入程序的设计看起来像正版 Total Commander 软件安装程序,但包含其他恶意组件。这些更改使 Total Commander 安装程序的官方数字签名失效。此版本的释放器保留了初始释放器的核心功能,但不包括西班牙语诗歌字符串和诱饵功能。此外,它还结合了反分析措施和检查,以防止连接到 C2 资源。

微信图片_20240422102237

Total Commander是被广泛使用的优秀文件管理器。

专家们还发现了 CR4T 植入物的 Golang 版本,它与 C 版本具有相似的功能。它包括用于机器交互的命令行控制台、文件下载/上传功能和命令执行功能。值得注意的是,该恶意软件可以使用 Golang Go-ole 库创建计划任务,该库与 Windows 组件对象模型 (COM) 接口以进行任务计划程序服务交互。

该恶意软件通过 COM对象劫持 技术实现持久化。该恶意软件使用 Telegram API 进行 C2 通信,实现公共 Golang Telegram API 绑定。所有交互都与C/C++版本类似。

“‘DuneQuixote’活动针对中东实体,使用了一系列旨在隐秘和持久的有趣工具。通过部署仅内存植入程序和伪装成合法软件的植入程序,模仿 Total Commander 安装程序,攻击者展示了高于平均水平的规避能力和技术。”

报告总结道:“CR4T 植入程序的 C/C++ 和 Golang 版本的发现凸显了此次活动背后的攻击者的灵活性和足智多谋。”


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/glTDwaO2w1oihS7ixMDeHQ

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容