Les acteurs de la menace à l’origine de l’opération de rançongiciel CatB ont été observés à l’aide d’une technique appelée Piratage d’ordre de recherche de DLL pour échapper à la détection et lancer la charge utile.
CatB, également appelé CatB99 et Baxtoy, est apparu à la fin de l’année dernière et serait une « évolution ou un changement de marque direct » d’une autre souche de ransomware connue sous le nom de Pandora, basée sur des similitudes au niveau du code.
Il convient de noter que l’utilisation de Pandora a été attribuée à Bronze Starlight (alias DEV-0401 ou Emperor Dragonfly), un acteur menaçant basé en Chine qui est connu pour utiliser des familles de rançongiciels de courte durée comme une ruse pour dissimuler probablement ses véritables objectifs.
L’une des principales caractéristiques déterminantes de CatB est sa dépendance au piratage de DLL via un service légitime appelé Microsoft Distributed Transaction Coordinator (MSDTC) pour extraire et lancer la charge utile du ransomware.
« Lors de l’exécution, les charges utiles CatB s’appuient sur le piratage de l’ordre de recherche DLL pour déposer et charger la charge utile malveillante », a déclaré Jim Walter, chercheur chez SentinelOne. a dit dans un rapport publié la semaine dernière. « Le compte-gouttes (versions.dll) dépose la charge utile (oci.dll) dans le répertoire System32. »
Le dropper est également chargé d’effectuer des vérifications anti-analyse pour déterminer si le logiciel malveillant est exécuté dans un environnement virtuel, et finalement d’abuser du service MSDTC pour injecter le fichier oci.dll malveillant contenant le logiciel de rançon dans l’exécutable msdtc.exe au redémarrage du système. .
« Le [MSDTC] les configurations modifiées sont le nom du compte sous lequel le service doit s’exécuter, qui passe de Service réseau à Système local, et l’option de démarrage du service, qui passe de Démarrage à la demande à Démarrage automatique pour la persistance en cas de redémarrage », Minerva Labs la chercheuse Natalie Zargarov expliqué dans une précédente analyse.
Un aspect frappant du rançongiciel est son absence de note de rançon. Au lieu de cela, chaque fichier crypté est mis à jour avec un message invitant les victimes à effectuer un paiement Bitcoin.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Un autre trait est la capacité du logiciel malveillant à collecter des données sensibles telles que les mots de passe, les signets, l’historique des navigateurs Web Google Chrome, Microsoft Edge (et Internet Explorer) et Mozilla Firefox.
« CatB rejoint une longue lignée de familles de ransomwares qui adoptent des techniques semi-romantiques et des comportements atypiques tels que l’ajout de notes à l’en-tête des fichiers », a déclaré Walter. « Ces comportements semblent être mis en œuvre dans l’intérêt de l’évasion de la détection et d’un certain niveau de supercherie anti-analyse. »
Ce n’est pas la première fois que le service MSDTC est armé à des fins malveillantes. En mai 2021, Trustwave a divulgué un nouveau logiciel malveillant appelé Pingback qui utilisait la même technique pour obtenir la persistance et contourner les solutions de sécurité.
