تمت ملاحظة الجهات الفاعلة في التهديد وراء عملية CatB ransomware باستخدام تقنية تسمى اختطاف أوامر بحث DLL للتهرب من الاكتشاف وبدء تشغيل الحمولة.
ظهر CatB ، الذي يشار إليه أيضًا باسم CatB99 و Baxtoy ، في أواخر العام الماضي ويقال إنه "تطور أو إعادة تسمية مباشرة" لسلسلة أخرى من برامج الفدية المعروفة باسم Pandora استنادًا إلى أوجه التشابه على مستوى الكود.
تجدر الإشارة إلى أن استخدام Pandora يُنسب إلى Bronze Starlight (المعروف أيضًا باسم DEV-0401 أو Emperor Dragonfly) ، وهو ممثل تهديد مقره الصين معروف بتوظيف عائلات برامج الفدية قصيرة العمر كخدعة لإخفاء أهدافها الحقيقية على الأرجح.
تتمثل إحدى الخصائص الرئيسية المحددة لـ CatB في اعتمادها على اختطاف DLL عبر خدمة شرعية تسمى Microsoft Distributed Transaction Coordinator ( MSDTC ) لاستخراج حمولة برامج الفدية وتشغيلها.
قال جيم والتر الباحث في SentinelOne في تقرير نُشر الأسبوع الماضي : "عند التنفيذ ، تعتمد حمولات CatB على اختطاف أمر بحث DLL لإسقاط الحمولة الضارة وتحميلها" . "يسقط القطارة (version.dll) الحمولة (oci.dll) في دليل System32."
.webp)
القطارة مسؤولة أيضًا عن إجراء فحوصات مكافحة التحليل لتحديد ما إذا كان يتم تنفيذ البرامج الضارة داخل بيئة افتراضية ، وفي النهاية تسيء استخدام خدمة MSDTC لحقن oci.dll المحتوي على برنامج الفدية في msdtc.exe القابل للتنفيذ عند إعادة تشغيل النظام .
"تكوينات [MSDTC] التي تم تغييرها هي اسم الحساب الذي يجب تشغيل الخدمة تحته ، والذي تم تغييره من خدمة الشبكة إلى النظام المحلي ، وخيار بدء الخدمة ، والذي تم تغييره من بدء الطلب إلى البدء التلقائي للاستمرار في حالة إعادة التشغيل يحدث "، أوضحت الباحثة في Minerva Labs ناتالي زارغاروف في تحليل سابق.
أحد الجوانب الملفتة للنظر في برنامج الفدية هو عدم وجود مذكرة فدية. بدلاً من ذلك ، يتم تحديث كل ملف مشفر برسالة تحث الضحايا على دفع مبلغ بيتكوين.
سمة أخرى هي قدرة البرامج الضارة على جمع البيانات الحساسة مثل كلمات المرور والإشارات المرجعية والمحفوظات من متصفحات الويب Google Chrome و Microsoft Edge (و Internet Explorer) و Mozilla Firefox.
قال والتر: "ينضم CatB إلى سلسلة طويلة من عائلات برامج الفدية التي تتبنى تقنيات شبه جديدة وسلوكيات غير نمطية مثل إلحاق الملاحظات برأس الملفات". "يبدو أن هذه السلوكيات يتم تنفيذها في مصلحة التهرب من الكشف ومستوى معين من الخداع المضاد للتحليل."
ليست هذه هي المرة الأولى التي يتم فيها تسليح خدمة MS DTC لأغراض ضارة. في مايو 2021 ، كشفت Trustwave عن برنامج ضار جديد أطلق عليه اسم Pingback والذي استفاد من نفس التقنية لتحقيق الثبات وتجاوز الحلول الأمنية.