Лаборатория Касперского обнаружила ранее неизвестную кампанию кибершпионажа, направленную против правительственной организации на Ближнем Востоке. Злоумышленник тайно шпионит за целью и собирал конфиденциальные данные, используя тщательно продуманный набор инструментов, разработанных для скрытности и устойчивости.
Первоначальный загрузчик вредоносного ПО маскируется под установочный файл Total Commander. дроппер содержит строки из испанских стихов, причем строки меняются от одного образца к другому. Такой механизм направлен на изменение сигнатуры каждого образца, что усложняет обнаружение традиционными методами.
Также отмечается, что загрузчик реализует дополнительные проверки антианализа, которые предотвращают соединение с C2-сервером, если в системе установлен отладчик или инструмент мониторинга, положение курсора не меняется через определенное время, количество доступной оперативной памяти менее 8 ГБ, а емкость диска менее 40 ГБ.
В дроппер встроен вредоносный код, предназначенный для загрузки бэкдора CR4T. Имплантат CR4T, разработанный на C/C++ и ” data-html=”true” data-original-title=”Golang” >GoLang, предоставляет хакеру доступ к консоли на зараженном компьютере, выполняет файловые операции, а также загружает и выгружает файлы после установки контакта с C2-сервером.
Кроме того, Golang-вариант CR4T способен обеспечить постоянство за счет использования техники перехвата COM-объектов (COM Hijacking) и использования Telegram API для связи с C2-сервером.
Телеметрия Лаборатории Касперского выявила жертву на Ближнем Востоке еще в феврале 2024 года. Кроме того, в конце 2023 года произошло несколько загрузок одного и того же вредоносного ПО в полупубличный сервис сканирования вредоносных программ, всего было отправлено более 30 заявок. Другие источники, предположительно представляющие собой выходные узлы VPN, расположены в Южной Корее, Люксембурге, Японии, Канаде, Нидерландах и США.