Siber güvenlik manzarası, 2022’nin sonlarında Catb fidye yazılımının ortaya çıkmasıyla sofistike bir tehdit aktörünün ortaya çıkmasına tanık oldu.
Catb99 veya Baxtoy olarak da bilinen bu kötü amaçlı yazılım, gelişmiş kaçırma yetenekleri ve ayırt edici saldırı metodolojileri için önemli bir ilgi göstermiştir.
Güvenlik araştırmacıları, Catb ve Pandora fidye yazılımı arasında çarpıcı benzerlikler olduğunu kaydetti, bu da CATB’nin neredeyse aynı fidye notları ve operasyonel kalıplar tarafından kanıtlandığı gibi, ikincisinin stratejik bir markası olabileceğini düşündürdü.
.png
)
Catb, sofistike yürütme stratejisi, özellikle de kötü amaçlı yükünü dağıtmak için Microsoft Dağıtılmış İşlem Koordinatörü (MSDTC) aracılığıyla DLL kaçırma kullanımı yoluyla kendini ayırır.
Geleneksel dosya şifrelemesinin ötesinde, fidye yazılımlarının yetenekleri tarayıcı verilerini ve kimlik bilgilerini çalmaya kadar uzanarak tehdit potansiyelini önemli ölçüde artırır.
Gelişmiş algılama mekanizmaları, sanal makine ortamlarını tanımlamasını ve atlamasını sağlar, bu da analiz ve muhafaza güvenlik uzmanları için çok daha zorlayıcı hale getirir.
Atthiq araştırmacıları, Catb’ın şüpheli siber casusluk grubu Chamelgang (Camofei olarak da bilinir) ile bağlantısını tespit ettiler.
Kapsamlı analize göre, bu stratejik dernek, tehdit aktör taktiklerinde ilgili bir evrimi temsil ediyor – geleneksel cezai fidye yazılımı operasyonlarını sofistike casusluk hedefleriyle karıştırıyor.
Bu hibrit yaklaşım, bariz fidye yazılımı saldırısının dikkatini altta yatan istihbarat toplama faaliyetlerinden yönlendirdiği bir duman perdesi yaratır.
CATB’nin etkisi, dünya çapında yüksek profilli kuruluşları hedef alan önemlidir. Çok aşamalı saldırı metodolojisi, şifreleme rutinlerini uygulamadan önce sistem bilgilerini toplamak için ilk keşifle başlar.
Şubat 2023’ten itibaren Fortinet’in teknik analiziyle desteklenen Sentinelone’un Mart 2023 raporu, kötü amaçlı yazılımların güvenliği ihlal edilmiş ağlarda kalıcılık oluştururken güvenlik savunmalarını nasıl zayıflattığını detaylandırıyor.
Bu gelişen tehdide yanıt olarak, Atustiq, CATB’nin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) taklit eden bir saldırı grafiği yayınladı ve kuruluşların güvenlik kontrollerini bu özel tehdit oyuncusu metodolojilerine karşı doğruladı.
Bu proaktif yaklaşım, güvenlik ekiplerinin gerçek dünya senaryolarında kullanılmadan önce potansiyel güvenlik açıklarını tanımlamalarına olanak tanır.
DLL Arama Siparişi Kaçma Mekanizması
CATB’nin yürütme stratejisinin temel taşı, Microsoft Dağıtılmış İşlem Koordinatörünü (MSDTC) tehlikeye atmak için Windows DLL arama sipariş mekanizmalarından yararlanıyor.
.webp)
MITER ATT & CK çerçevesinde T1574.001 olarak sınıflandırılan bu teknik, kötü amaçlı yazılımın, kötü amaçlı kod yürütmek için meşru süreçlerde etkili bir şekilde piggybacking yapan güvenilir bir sistem ikili içine bir haydut yazılım yüklemesine izin verir.
Saldırı, Catb damlasının ilk keşif yapması, GetSyStemInfo ve CihaziOcontrol gibi API çağrıları aracılığıyla donanım özelliklerini ve sistem sürücü bilgilerini toplayarak başlar.
Fiziksel ve sanal bellek hakkında ayrıntıları toplamak için GlobalMemoryStatusex API’sını özellikle kullanır – VM algılama yeteneğinde önemli bir adım.
DLL kaçırma işlemi, Windows’un öngörülebilir DLL yükleme sırasını kullanır;
.webp)
Sırada daha önce aranan bir yerde meşru bir DLL ile aynı adla kötü niyetli bir DLL yerleştirerek, CATB, kodunun güvenilir uygulama ile aynı ayrıcalıklarla yürütülmesini sağlar.
Aşağıdaki basitleştirilmiş kod modeli, savunucuların bu etkinliği nasıl tespit edebileceğini göstermektedir:
# Detection of potential DLL hijacking activity
$suspiciousDllLocations = Get-ChildItem -Path "C:\Windows\System32\msdtc\" -Filter "*.dll" -Recurse
$knownGoodHashes = @("hash1", "hash2", "hash3")
foreach ($dll in $suspiciousDllLocations) {
$fileHash = Get-FileHash -Path $dll.FullName -Algorithm SHA256
if ($fileHash.Hash -notin $knownGoodHashes) {
Write-Output "Potential malicious DLL detected: $($dll.FullName)"
}
}Kötü niyetli DLL yüklendikten sonra CATB, savunmaları devre dışı bırakmak için PowerShell komutlarını kullanarak güvenlik ile ilgili süreçleri sonlandırır.
Bu, şifreleme işlemlerine ve tarayıcı veri hırsızlığı faaliyetlerine elverişli bir ortam yaratır.
CATB’nin DLL kaçırma mekanizmasının sofistike doğası, keşif yetenekleri ve savunma kaçırma teknikleri ile birleştiğinde, gelişmiş tespit metodolojileri ve proaktif güvenlik doğrulaması gerektiren zorlu bir tehdit haline getiriyor.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial