СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.04.2025
#ИБ

Новый взгляд на угрозу: анализ атак CatB

Новый взгляд на угрозу: анализ атак CatB

Компания AttackIQ недавно опубликовала график атак, который посвящен анализу тактики, методов и процедур (TTP) программы-вымогателя CatB, также известной как CatB99 или Baxtoy. Эта угроза, появившаяся в конце 2022 года, привлекла внимание специалистов по кибербезопасности благодаря уникальным методам распространения и кибершпионским свойствам.

Тактика и методы CatB

Одной из ключевых особенностей программы-вымогателя CatB является использование DLL-файлов через Microsoft Distributed Transaction Coordinator (MSDTC) для выполнения вредоносной нагрузки. Аналитики допускают, что CatB может являться ребрендингом программы-вымогателя Pandora, учитывая схожесть в их рабочих инструкциях.

Обход средств защиты

CatB использует несколько изощренных методов для обхода систем защиты, что делает его сложной угрозой для организаций. Среди эффективных тактик программы можно выделить:

  • Обнаружение виртуальных машин: программа умеет определять, находится ли она в виртуальной среде, и обходить её.
  • Извлечение конфиденциальной информации: CatB шифрует файлы и одновременно пытается собирать данные о браузере и учетных данных пользователей.
  • Использование PowerShell: вредоносное ПО применяет команды, такие как taskkill, чтобы отключить защитные процессы и уничтожить потенциал защиты.
  • Удаление теневых копий: злоумышленники удаляют теневые копии томов, что затрудняет восстановление файлов для жертв.

Связь с кибершпионской группой

Программа-вымогатель CatB связана с кибершпионской группой ChamelGang, которая, вероятно, использует её для отвлечения внимания от своей основной шпионской деятельности. Это поднимает важные вопросы о трудностях в выявлении такой смешанной деятельности.

Рекомендации по безопасности

Специалисты по безопасности настоятельно рекомендуют организациям внедрять следующие меры для защиты от угрозы CatB:

  • Отслеживание использования встроенных утилит и методов, которые могут подгружать вредоносные программы.
  • Постоянный мониторинг и анализ действий, направленных на удаление теневых копий.
  • Усиление защиты конечных устройств и сетевой безопасности.

График атак, опубликованный AttackIQ, позволяет специалистам по безопасности лучше оценить свои возможности защиты от данной сложной угрозы и внедрять адекватные меры для минимизации рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: