DuneQuixote 活动是使用 CR4T 恶意软件针对中东组织的攻击活动。此次活动中已发现 30 多个滴管样本和两个 CR4T 植入物。该释放器有两个版本:常规版本和修改后的 Total Commander 安装程序文件,该文件使用西班牙诗歌片段进行诱饵 API 调用以逃避检测。 CR4T 植入允许在受害者的计算机上执行命令行、文件下载、上传和修改。
该释放器是一个用 C/C++ 开发的 Windows x64 可执行文件,它使用西班牙诗歌中的字符串来逃避检测。它还动态解析 Windows API 函数的内存偏移、解密 C2 地址并与 C2 服务器建立连接。
CR4T 植入程序使用命名管道进行进程间通信、发送和接收命令及其以 Base64 编码的输出。此外,它还具有使用 PowerShell 获取计划任务名称等功能。
该活动的基础设施位于美国的两个商业托管商,受害者位于中东。还确定了充当 VPN 出口节点的源。
总之,DuneQuixote 活动是针对中东组织的恶意软件攻击,并使用多种技术来逃避检测。该活动背后的威胁参与者正在使用 C/C++ 和 Golang 版本的 CR4T 植入程序。
【新闻评论】
已发现针对中东政府机构的新恶意软件活动 DuneQuixote。此活动中积极使用了 30 多个植入程序样本,它们要么潜入合法工具 Total Commander 的安装程序文件,要么充当常规植入程序。这些植入程序包含恶意代码,用于下载充当后门的额外有效负载“CR4T”。
该活动的独特之处在于攻击者采用多种规避技术来阻止收集和分析。例如,先进的规避方法已在网络通信和恶意软件代码中实施。执行后,初始释放器会发出实际上无用的诱饵 API 调用,从而逃避传统的检测方法。此外,还使用专有技术来解密 C2(命令和控制)服务器地址,以防止自动恶意软件分析系统泄露。
CR4T 植入允许攻击者执行命令行、下载、上传和修改受害者计算机上的文件。该植入程序在隐藏窗口中启动 cmd.exe 进程,并通过命名管道建立进程间通信。此外,在与 C2 服务器的通信中嵌入了特定的用户代理。
该活动的基础设施位于美国的两家商业托管商,受害者确认位于中东地区。该活动通过复杂的技术来逃避检测,并使用一系列工具来确保攻击的持续性,从而针对中东的组织。
此次活动的调查结果对网络安全领域具有重要影响。首先,它可以更好地了解攻击者如何逃避检测并长时间保持活跃。这也表明,为了应对此类攻击,我们不仅需要传统的检测方法,还需要更先进的分析技术和对策。此外,它将促使政府机构和企业审查和加强其安全措施。
但该活动也暗示了潜在的风险。例如,如果攻击者能够渗透政府机构的网络并窃取敏感信息,则可能对国家安全构成威胁。这项技术也有可能被其他犯罪分子复制,瞄准更多的组织和个人。
最终,DuneQuixote 活动再次强调网络安全专业人员需要保持警惕并不断更新知识和技术以应对最新威胁。此外,国际合作和信息共享将是有效应对此类威胁的关键。
