Семейство вымогательских программ CatB, иногда называемое CatB99 или Baxtoy, впервые было замечено в конце 2022 года, а с ноября кампании стали проводиться постоянно. Деятельность группы привлекла внимание благодаря постоянному использованию перехвата DLL через Microsoft Distributed Transaction Coordinator (MSDTC) для извлечения и запуска полезной нагрузки ransomware.
CatB Ransomware
Полезная нагрузка CatB распространяется в виде набора из двух DLL. DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, которая служит полезной нагрузкой ransomware.
Сначала распространяется дроппер в виде UPX-упакованной DLL (versions.dll). Этот дроппер помещает вторую полезную нагрузку DLL (oci.dll) на целевой хост. DLL-дроппер отвечает за любые методы обхода "песочницы", необходимые субъекту угрозы. Уклонение от "песочницы" тормозит процесс анализа и в конечном итоге приводит к тому, что злоумышленник проводит больше времени в целевой среде.
CatB выполняет три основные проверки, пытаясь определить, выполняется ли полезная нагрузка в виртуальной среде. Это прямые проверки типа и размера физической оперативной памяти, типа и размера физических жестких дисков, а также проверка на наличие странных или аномальных комбинаций процессоров и ядер.
После выполнения полезные нагрузки CatB полагаются на перехват порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки. Дроппер (versions.dll) сбрасывает полезную нагрузку (oci.dll) в каталог System32.
Затем вредоносная программа злоупотребляет службой MSDTC, манипулируя разрешениями и параметрами запуска. В результате при перезапуске службы MSDTC система внедряет вредоносную oci.dll в исполняемый файл службы (msdtc.exe). Taskill.exe используется для завершения процесса msdtc.exe после внесения изменений в конфигурацию службы.
CatB ransomware исключает из процесса шифрования следующие файлы и расширения: .msi, .dll, .sys, .iso и NTUSER.DAT.
В дополнение к жестко заданным исключениям, тома локального диска, подлежащие шифрованию, также настраиваются аналогичным образом. По умолчанию полезная нагрузка oci.dll попытается зашифровать C:\users (все дерево), I:, H:, G:, F:, E: и D:.
Отсутствие изменений после шифрования - это черта, которая отличает CatB от других аналогов. После шифрования нет никаких явных признаков - ни отдельной записки с выкупом, ни изменения обоев рабочего стола, ни антагонизирующих расширений файлов. Вместо этого в начало каждого зашифрованного файла вставляется то, что можно считать запиской о выкупе.
Согласно записке о выкупе, единственный способ связаться с агентом угрозы - это электронная почта по указанному адресу catB9991 protonmail. Кроме того, для оплаты предоставляется один адрес Bitcoin (BTC). Цена выкупа будет увеличиваться каждый день в течение пяти дней, а после пятого дня, если жертва не выполнит требования, произойдет "необратимая потеря данных".
По результатам наблюдений, нет доказательств того, что операторы CatB генерируют платежные кошельки для каждой жертвы, поскольку предоставляемый Bitcoin-адрес не является уникальным для каждого образца.
На каждом зараженном хосте в каталоге c:\users\public\ хранится файл ключей. Этот файл должен быть включен в электронную переписку со злоумышленниками, поскольку в идеале он является уникальным идентификатором для каждой жертвы или хоста.
Кража учетных данных и данных браузера
Помимо шифрования и обфускации файлов, вредоносная программа CatB пытается собрать специфическую конфиденциальную информацию с целевых систем. К ней относятся данные о сеансах работы браузера и учетные данные.
Вредоносная программа содержит функции для обнаружения и извлечения пользовательских данных из Mozilla Firefox, Google Chrome, Microsoft Edge, а также Internet Explorer. Данные, извлекаемые из браузеров, включают закладки, списки блоков, журналы аварий, историю, данные профиля пользователя, данные автозаполнения, настройки среды, ключи сеанса браузера и многое другое.
Вредоносная программа CatB также пытается найти и извлечь конфиденциальную информацию из данных профиля Windows Mail (\AppData\Local\Microsoft\Windows Mail\).
Разновидности кампаний угрозы CatB
Образцы, взятые из кампании ноября 2022 года, содержат другой контактный адрес электронной почты - fishA001[@]protonmail.com. Позже он меняется на адрес catB9991 protonmail, упомянутый выше. Это единственное отличие в записках о выкупе. Другие детали, такие как разбивка платежей по дням и адрес оплаты в BTC, идентичны.
В этих записках о выкупе присутствуют все те же признаки, за исключением адреса оплаты BTC. Также отсутствует требование предоставить файл ключа в c\users\public\key. Заметки, в которых отсутствует функция отправки ключа, позволяют предположить, что они являются артефактами более ранней "тестовой" версии выкупа.
Indicators of Compromise
Emails
- catB9991@protonmail.com
- fishA001@protonmail.com
SHA1
- 1028a0e6cecb8cfc4513abdbe3b9d948cf7a5567
- 8c11109da1d7b9d3e0e173fd24eb4b7462073174
- 951e603af10ec366ef0f258bf8d912efedbb5a4b
- db99fc79a64873bef25998681392ac9be2c1c99c
- dd3d62a6604f28ebeeec36baa843112df80b0933