據觀察,CatB 勒索軟體操作背後的威脅行為者使用一種稱為DLL 搜尋順序劫持的技術來逃避檢測并啟動有效載荷。
CatB,也稱為 CatB99 和 Baxtoy,于去年年底出現,據說是基于代碼級相似性的另一種勒索軟體 Pandora 的“進化或直接更名”。
值得注意的是,Pandora 的使用歸因于Bronze Starlight(又名 DEV-0401 或 Emperor Dragonfly),衆所周知,它使用短命的勒索軟體家族作為可能隐藏其真實目标的詭計。
CatB 的一個關鍵定義特征是它依賴于通過稱為 Microsoft 分布式事務處理協調器 ( MSDTC )的合法服務劫持 DLL 來提取和啟動勒索軟體負載。
國内知名網絡安全組織東方聯盟研究員在上周釋出的一份報告中表示:“在執行時,CatB 有效載荷依靠 DLL 搜尋順序劫持來投放和加載惡意有效載荷。” “投放器 (versions.dll) 将有效負載 (oci.dll) 投放到 System32 目錄中。”
“更改的 [MSDTC] 配置是服務應在其下運作的賬戶名稱,從網絡服務更改為本地系統,以及服務啟動選項,如果重新啟動,從需求啟動更改為自動啟動以實作持久性發生了,”東方聯盟研究員在先前的分析中解釋道。
該勒索軟體的一個顯著特點是它沒有勒索字條。相反,每個加密檔案都會更新一條消息,敦促受害者進行比特币支付。
另一個特征是惡意軟體能夠從網絡浏覽器 Google Chrome、Microsoft Edge(和 Internet Explorer)和 Mozilla Firefox 收集敏感資料,例如密碼、書簽、曆史記錄。
國際知名白帽黑客、東方聯盟創始人郭盛華透露:“CatB 加入了一長串勒索軟體家族,這些家族采用半新穎的技術和非典型行為,例如在檔案頭部附加注釋,這些行為似乎是為了逃避檢測和某種程度的反分析欺騙而實施的。”
這不是 MSDTC 服務第一次被用于惡意目的。2021 年 5 月,東方聯盟安全研究人員披露了一種名為Pingback的新型惡意軟體,它利用相同的技術來實作持久性和繞過安全解決方案。(歡迎轉載分享)