Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

中東政府遭到後門程式CR4T鎖定,老牌檔案管理共享軟體Total Commander安裝檔遭改裝夾帶惡意程式下載器

Share

2024-04-26

研究人員揭露針對中東政府機關而來的攻擊行動DuneQuixote,並研判對方從事相關攻擊至少超過一年以上

接著,對方使用XOR演算法解碼字串,取得Windows核心特定DLL檔案的名稱,成功後就會透過動態解析API呼叫,並利用多種方式得到記憶體的位置,然後以特殊手法解出C2的IP位址(研究人員並未透露手法為何),從而下載後門程式並執行。研究人員指出,攻擊者採用上述手法取得IP位址的原因,是為了避免遭到惡意軟體分析系統攔截。

而針對後門程式的部分,研究人員看到了兩種版本的CR4T,一個以C及C++開發,另一個採用Go語言開發,但兩者功能幾乎完全相同。

值得留意的是,研究人員推測,這起攻擊行動可能從去年2月就開始,相關惡意程式主要出現於中東地區,但似乎也有人從韓國、盧森堡、日本加拿大、荷蘭、美國上傳相關檔案到惡意程式分析平臺,對此研究人員認為,這些人很有可能是透過VPN來傳輸檔案。

Disclaimer:
Details
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu