Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый взгляд на угрозу: анализ атак CatB

2 мин
Компания AttackIQ недавно опубликовала график атак, который посвящен анализу тактики, методов и процедур (TTP) программы-вымогателя CatB, также известной как CatB99 или Baxtoy. Эта угроза, появившаяся в конце 2022 года, привлекла внимание специалистов по кибербезопасности благодаря уникальным методам распространения и кибершпионским свойствам. Одной из ключевых особенностей программы-вымогателя CatB является использование DLL-файлов через Microsoft Distributed Transaction Coordinator (MSDTC) для выполнения вредоносной нагрузки. Аналитики допускают, что CatB может являться ребрендингом программы-вымогателя Pandora, учитывая схожесть в их рабочих инструкциях. CatB использует несколько изощренных методов для обхода систем защиты, что делает его сложной угрозой для организаций. Среди эффективных тактик программы можно выделить: Программа-вымогатель CatB связана с кибершпионской группой ChamelGang, которая, вероятно, использует её для отвлечения внимания от своей основной шпионской деятельн
Оглавление

Компания AttackIQ недавно опубликовала график атак, который посвящен анализу тактики, методов и процедур (TTP) программы-вымогателя CatB, также известной как CatB99 или Baxtoy. Эта угроза, появившаяся в конце 2022 года, привлекла внимание специалистов по кибербезопасности благодаря уникальным методам распространения и кибершпионским свойствам.

Тактика и методы CatB

Одной из ключевых особенностей программы-вымогателя CatB является использование DLL-файлов через Microsoft Distributed Transaction Coordinator (MSDTC) для выполнения вредоносной нагрузки. Аналитики допускают, что CatB может являться ребрендингом программы-вымогателя Pandora, учитывая схожесть в их рабочих инструкциях.

Обход средств защиты

CatB использует несколько изощренных методов для обхода систем защиты, что делает его сложной угрозой для организаций. Среди эффективных тактик программы можно выделить:

  • Обнаружение виртуальных машин: программа умеет определять, находится ли она в виртуальной среде, и обходить её.
  • Извлечение конфиденциальной информации: CatB шифрует файлы и одновременно пытается собирать данные о браузере и учетных данных пользователей.
  • Использование PowerShell: вредоносное ПО применяет команды, такие как taskkill, чтобы отключить защитные процессы и уничтожить потенциал защиты.
  • Удаление теневых копий: злоумышленники удаляют теневые копии томов, что затрудняет восстановление файлов для жертв.

Связь с кибершпионской группой

Программа-вымогатель CatB связана с кибершпионской группой ChamelGang, которая, вероятно, использует её для отвлечения внимания от своей основной шпионской деятельности. Это поднимает важные вопросы о трудностях в выявлении такой смешанной деятельности.

Рекомендации по безопасности

Специалисты по безопасности настоятельно рекомендуют организациям внедрять следующие меры для защиты от угрозы CatB:

  • Отслеживание использования встроенных утилит и методов, которые могут подгружать вредоносные программы.
  • Постоянный мониторинг и анализ действий, направленных на удаление теневых копий.
  • Усиление защиты конечных устройств и сетевой безопасности.

График атак, опубликованный AttackIQ, позволяет специалистам по безопасности лучше оценить свои возможности защиты от данной сложной угрозы и внедрять адекватные меры для минимизации рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый взгляд на угрозу: анализ атак CatB".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются