Siber güvenlik alanı, Catb99 veya Baxtoy olarak da bilinen Catb fidye yazılımının ortaya çıkmasıyla zorlu bir düşmanla karşılaştı.
İlk olarak 2022’nin sonlarında belirlenen bu tür, sofistike kaçakçılık teknikleri ve yerleşik fidye yazılımı ailelerine potansiyel bağlantısı nedeniyle güvenlik analistlerinin dikkatini çekti.
Güvenlik topluluğunda Catb’ın kötü şöhretli Pandora fidye yazılımının yeniden markalı bir versiyonu olabileceğine dair spekülasyonlar var.
.png
)
Bu teori, bu iki tehdit arasında gözlenen fidye notlarının içeriği ve yapısındaki önemli örtüşmeden kaynaklanmaktadır.
SentinelOne’un Mart 2023 raporu, Catb’ın sanal makine kurulumlarını tespit etme ve atlama yeteneğini vurgular ve yüksek derecede teknik karmaşıklık gösteriyor.
Siber casusluk fidye yazılımlarını karşılıyor
Catb’ın operasyonları, daha önce dünya çapında büyük organizasyonlara karşı gizli kampanyalarıyla bilinen siber bir casusluk grubu olan Camofei olarak bilinen Chamelgang ile bağlantılıdır.
Fidye yazılımlarını dahil ederek Chamelgang, bir duman perdesi yaratmayı ve dikkati birincil casusluk hedeflerinden ayırmayı hedefliyor olabilir.
Fidye yazılımı ve casusluğun bu yakınsaması, daha sinsi siber faaliyetleri gizlemek için geleneksel suç taktiklerinin kullanıldığı rahatsız edici bir eğilimi yansıtmaktadır.
CATB saldırılarının teknik analizi
Fidye yazılımı birkaç endişe verici taktik, teknik ve prosedür kullanır (TTP’ler):
- İlk Erişim ve Keşif: CATB Droper, başlangıçta Donanım Detayları gibi sisteme özgü bilgileri toplamak ve GlobalMemoryStatusex gibi API’leri kullanarak seri numaralarını sürmek için dağıtılır. Bu keşif, sanal makine algılama kontrolleri de dahil olmak üzere her bir kurbanın ortamına saldırıları uyarlamak için çok önemlidir.
- Yürütme ve Etki: Microsoft Dağıtılmış İşlem Koordinatörü (MSDTC) aracılığıyla DLL Arama Siparişi Kaçırma kullanan CATB, gizli yük yürütmesini sağlar. Daha sonra şuna geçer:
- Yanıt sürelerini engellemek için güvenlik süreçlerini sonlandırın.
- Web tarayıcılarından hassas veriler çalın, potansiyel olarak kullanıcı davranışlarını ve ağ erişim noktalarını ortaya çıkarın.
- Ödeme yapmadan iyileşmeyi önlemek için sofistike algoritmalar kullanarak dosyaları sistem boyunca şifreleyin.
Bu taktiklere yanıt olarak, Atustiq, CATB’nin davranışını taklit etmek için bir saldırı grafiği geliştirdi:
- Tespit: Kuruluşlar, PowerShell veya CMD.EXE gibi yerel yardımcı programları kullanarak kötü amaçlı içerik indirmelerini algılamaya öncelik vermelidir. Hacim Gölgesi Kopyalama silme gibi bilinen kötü niyetli faaliyetlerle ilişkili komutlar için imza tabanlı algılamalar araçsal olabilir.
- Azaltma: Bu tehditlerin azaltılması şunları içerir:
- Bilinen kötü amaçlı yüklerin harici indirmelerini engellemek için ağ girişinin önlenmesini uygulamak.
- Veri yedeklemelerinin fidye yazılımı saldırılarının etkisini azaltmak için düzenli olarak güncellenmesini ve korunmasını sağlamak.
- İşletim sistemlerini en son güvenlik yamalarıyla yapılandırmak ve tehlikeye atılan hesapların etkisini sınırlamak için modern kullanıcı hesabı yönetimi uygulamalarını kullanmak.
Catb fidye yazılımının ortaya çıkışı, fidye yazılımı gruplarının sofistike ve cesaretinde dikkate değer bir artış anlamına gelir.
Sistem araçlarını kötü amaçlı uçlar için kullanma yeteneği, sürekli güvenlik doğrulama ve iyileştirme gerekliliğinin altını çizmektedir.
Kuruluşlar, bu gelişen tehditlere ayak uydurmak için sürekli tehdit maruziyet yönetimi (CTEM) gibi çerçevelerden yararlanmalı ve güvenlik kontrollerinin gerçek dünyadaki düşman davranışlarına karşı etkili olmasını sağlar.
Proaktif önlemler ve gerçek zamanlı tehdit öyküleri yoluyla, siber güvenlik topluluğu, dijital manzaramızdaki güvenliği ve bütünlüğü koruyarak bu tür sofistike tehditlere karşı daha iyi savunabilir ve bu tür bir şekilde yanıt verebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!