CatB Ransomware IOCs - Part 2

ransomware IOC

Семейство вымогательских программ CatB, иногда называемое CatB99 или Baxtoy, впервые было замечено в конце 2022 года, а с ноября кампании стали проводиться постоянно. Деятельность группы привлекла внимание благодаря постоянному использованию перехвата DLL через Microsoft Distributed Transaction Coordinator (MSDTC) для извлечения и запуска полезной нагрузки ransomware.

CatB Ransomware

Полезная нагрузка CatB распространяется в виде набора из двух DLL. DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, которая служит полезной нагрузкой ransomware.

Сначала распространяется дроппер в виде UPX-упакованной DLL (versions.dll). Этот дроппер помещает вторую полезную нагрузку DLL (oci.dll) на целевой хост. DLL-дроппер отвечает за любые методы обхода "песочницы", необходимые субъекту угрозы. Уклонение от "песочницы" тормозит процесс анализа и в конечном итоге приводит к тому, что злоумышленник проводит больше времени в целевой среде.

CatB выполняет три основные проверки, пытаясь определить, выполняется ли полезная нагрузка в виртуальной среде. Это прямые проверки типа и размера физической оперативной памяти, типа и размера физических жестких дисков, а также проверка на наличие странных или аномальных комбинаций процессоров и ядер.

После выполнения полезные нагрузки CatB полагаются на перехват порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки. Дроппер (versions.dll) сбрасывает полезную нагрузку (oci.dll) в каталог System32.

Затем вредоносная программа злоупотребляет службой MSDTC, манипулируя разрешениями и параметрами запуска. В результате при перезапуске службы MSDTC система внедряет вредоносную oci.dll в исполняемый файл службы (msdtc.exe). Taskill.exe используется для завершения процесса msdtc.exe после внесения изменений в конфигурацию службы.

CatB ransomware исключает из процесса шифрования следующие файлы и расширения: .msi, .dll, .sys, .iso и NTUSER.DAT.

В дополнение к жестко заданным исключениям, тома локального диска, подлежащие шифрованию, также настраиваются аналогичным образом. По умолчанию полезная нагрузка oci.dll попытается зашифровать C:\users (все дерево), I:, H:, G:, F:, E: и D:.

Отсутствие изменений после шифрования - это черта, которая отличает CatB от других аналогов. После шифрования нет никаких явных признаков - ни отдельной записки с выкупом, ни изменения обоев рабочего стола, ни антагонизирующих расширений файлов. Вместо этого в начало каждого зашифрованного файла вставляется то, что можно считать запиской о выкупе.

Согласно записке о выкупе, единственный способ связаться с агентом угрозы - это электронная почта по указанному адресу catB9991 protonmail. Кроме того, для оплаты предоставляется один адрес Bitcoin (BTC). Цена выкупа будет увеличиваться каждый день в течение пяти дней, а после пятого дня, если жертва не выполнит требования, произойдет "необратимая потеря данных".

По результатам наблюдений, нет доказательств того, что операторы CatB генерируют платежные кошельки для каждой жертвы, поскольку предоставляемый Bitcoin-адрес не является уникальным для каждого образца.

На каждом зараженном хосте в каталоге c:\users\public\ хранится файл ключей. Этот файл должен быть включен в электронную переписку со злоумышленниками, поскольку в идеале он является уникальным идентификатором для каждой жертвы или хоста.

Кража учетных данных и данных браузера

Помимо шифрования и обфускации файлов, вредоносная программа CatB пытается собрать специфическую конфиденциальную информацию с целевых систем. К ней относятся данные о сеансах работы браузера и учетные данные.

Вредоносная программа содержит функции для обнаружения и извлечения пользовательских данных из Mozilla Firefox, Google Chrome, Microsoft Edge, а также Internet Explorer. Данные, извлекаемые из браузеров, включают закладки, списки блоков, журналы аварий, историю, данные профиля пользователя, данные автозаполнения, настройки среды, ключи сеанса браузера и многое другое.

Вредоносная программа CatB также пытается найти и извлечь конфиденциальную информацию из данных профиля Windows Mail (\AppData\Local\Microsoft\Windows Mail\).

Разновидности кампаний угрозы CatB

Образцы, взятые из кампании ноября 2022 года, содержат другой контактный адрес электронной почты - fishA001[@]protonmail.com. Позже он меняется на адрес catB9991 protonmail, упомянутый выше. Это единственное отличие в записках о выкупе. Другие детали, такие как разбивка платежей по дням и адрес оплаты в BTC, идентичны.

В этих записках о выкупе присутствуют все те же признаки, за исключением адреса оплаты BTC. Также отсутствует требование предоставить файл ключа в c\users\public\key. Заметки, в которых отсутствует функция отправки ключа, позволяют предположить, что они являются артефактами более ранней "тестовой" версии выкупа.

Indicators of Compromise

Emails

  • catB9991@protonmail.com
  • fishA001@protonmail.com

SHA1

  • 1028a0e6cecb8cfc4513abdbe3b9d948cf7a5567
  • 8c11109da1d7b9d3e0e173fd24eb4b7462073174
  • 951e603af10ec366ef0f258bf8d912efedbb5a4b
  • db99fc79a64873bef25998681392ac9be2c1c99c
  • dd3d62a6604f28ebeeec36baa843112df80b0933
SEC-1275-1
Добавить комментарий