CatB fidye yazılımı operasyonunun arkasındaki tehdit aktörlerinin, tespit edilmekten kaçınmak ve yükü başlatmak için DLL arama emri kaçırma adı verilen bir teknik kullandığı gözlemlendi.
CatB99 ve Baxtoy olarak da anılan CatB, geçen yılın sonlarında ortaya çıktı ve kod düzeyindeki benzerliklere dayanarak Pandora olarak bilinen başka bir fidye yazılımı türünün “evrimi veya doğrudan yeniden markası” olduğu söyleniyor.
Pandora’nın kullanımının, muhtemelen gerçek hedeflerini gizlemek için bir hile olarak kısa ömürlü fidye yazılımı aileleri kullandığı bilinen Çin merkezli bir tehdit aktörü olan Bronze Starlight’a (diğer adıyla DEV-0401 veya Emperor Dragonfly) atfedildiğini belirtmekte fayda var.
CatB’nin en önemli tanımlayıcı özelliklerinden biri, fidye yazılımı yükünü ayıklamak ve başlatmak için Microsoft Dağıtılmış İşlem Koordinatörü (MSDTC) adlı yasal bir hizmet aracılığıyla DLL hırsızlığına güvenmesidir.
SentinelOne araştırmacısı Jim Walter, geçen hafta yayınlanan bir raporda, “Yürütme sonrasında, CatB yükleri, kötü amaçlı yükü bırakmak ve yüklemek için DLL arama emri kaçırmaya güveniyor” dedi. “Damlalık (versions.dll), yükü (oci.dll) System32 dizinine bırakır.”
Damlalık ayrıca, kötü amaçlı yazılımın sanal bir ortamda yürütülüp yürütülmediğini belirlemek için anti-analiz kontrolleri yapmaktan ve nihayetinde fidye yazılımını içeren hileli oci.dll dosyasını sistem yeniden başlatıldığında msdtc.exe yürütülebilir dosyasına enjekte etmek için MSDTC hizmetini kötüye kullanmaktan da sorumludur. .
” [MSDTC] değiştirilen yapılandırmalar, hizmetin altında çalışması gereken, Ağ Hizmeti yerine Yerel Sistem olarak değiştirilen hesabın adı ve Talep başlatma yerine Yeniden başlatma olursa kalıcılık için Otomatik başlat olarak değiştirilen hizmet başlatma seçeneğidir,” Minerva Labs araştırmacı Natalie Zargarov önceki bir analizde açıkladı.
Fidye yazılımının çarpıcı bir yönü, fidye notunun olmamasıdır. Bunun yerine, şifrelenmiş her dosya, kurbanları Bitcoin ödemesi yapmaya teşvik eden bir mesajla güncellenir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Diğer bir özellik ise, kötü amaçlı yazılımın Google Chrome, Microsoft Edge (ve Internet Explorer) ve Mozilla Firefox web tarayıcılarından şifreler, yer imleri, geçmiş gibi hassas verileri toplama yeteneğidir.
Walter, “CatB, yarı yeni teknikleri ve dosyaların başına notlar eklemek gibi atipik davranışları benimseyen uzun bir fidye yazılımı ailesine katılıyor” dedi. “Bu davranışlar, tespitten kaçınma ve bir düzeyde analiz karşıtı hile yapmak için uygulanıyor gibi görünüyor.”
Bu, MSDTC hizmetinin kötü niyetli amaçlarla silah haline getirildiği ilk sefer değil. Mayıs 2021’de Trustwave, kalıcılığa ulaşmak ve güvenlik çözümlerini atlamak için aynı tekniği kullanan Pingback adlı yeni bir kötü amaçlı yazılımı açıkladı.