Un conjunto de herramientas maliciosas denominado Espacio y colon se está implementando como parte de una campaña en curso para difundir variantes del ransomware Scarab entre las organizaciones víctimas en todo el mundo.
«Probablemente llega a las organizaciones víctimas porque sus operadores comprometen servidores web vulnerables o mediante la fuerza bruta de las credenciales RDP», dijo el investigador de seguridad de ESET Jakub Souček. dicho en un artículo técnico detallado publicado el martes.
La empresa eslovaca de ciberseguridad, que denominó al actor de amenazas CosmicBeetle, dijo que los orígenes del Spacecolon se remontan a mayo de 2020. La mayor concentración de víctimas se ha detectado en Francia, México, Polonia, Eslovaquia, España y Turquía.
Si bien la procedencia exacta del adversario no está clara, se dice que varias variantes de Spacecolon contienen cadenas turcas, lo que probablemente apunte a la participación de un desarrollador de habla turca. Actualmente no hay evidencia que lo vincule con ningún otro grupo de actores de amenazas conocido.
Algunos de los objetivos incluyen un hospital y un centro turístico en Tailandia, una compañía de seguros en Israel, una institución gubernamental local en Polonia, un proveedor de entretenimiento en Brasil, una empresa ambiental en Turquía y una escuela en México.
«CosmicBeetle no elige sus objetivos, sino que encuentra servidores a los que les faltan actualizaciones de seguridad críticas y los aprovecha», señala Souček.
Vale la pena señalar que Spacecolon fue documentado por primera vez por la empresa polaca Zaufana Trzecia Strona a principios de febrero de 2023, lo que probablemente llevó al adversario a modificar su arsenal en respuesta a revelaciones públicas.
El componente principal de Spacecolon es ScHackTool, un orquestador con sede en Delhi que se utiliza para implementar un instalador que, como su nombre lo indica, instala ScService, una puerta trasera con funciones para ejecutar comandos personalizados, descargar y ejecutar cargas útiles y recuperar información del sistema de sitios comprometidos. máquinas.
ScHackTool también funciona como un conducto para configurar una amplia gama de herramientas de terceros obtenidas de un servidor remoto (193.149.185[.]23). El objetivo final de los ataques es aprovechar el acceso proporcionado por ScService para entregar una variante del ransomware escarabajo.
Una versión alternativa de la cadena de infección identificada por ESET implica el uso de Paquete implementar ScService en lugar de usar ScHackTool, lo que indica que los actores de amenazas están experimentando con diferentes métodos.
Los motivos financieros de CosmicBeetle se ven reforzados aún más por el hecho de que la carga útil del ransomware también lanza un malware clipper para controlar el portapapeles del sistema y modificar las direcciones de las billeteras de criptomonedas a aquellas que están bajo el control del atacante.
Además, hay pruebas de que el adversario está desarrollando activamente una nueva cepa de ransomware denominada ScRansom, que intenta cifrar todos los discos duros, extraíbles y remotos utilizando el AES-128 algoritmo con una clave generada a partir de una cadena codificada.
«CosmicBeetle no hace mucho esfuerzo por ocultar su malware y deja muchos artefactos en los sistemas comprometidos», dijo Souček. «Se implementan pocas o ninguna técnica anti-análisis o anti-emulación. ScHackTool depende en gran medida de su GUI, pero, al mismo tiempo, contiene varios botones no funcionales».
«Los operadores de CosmicBeetle utilizan ScHackTool principalmente para descargar herramientas adicionales de su elección en las máquinas comprometidas y ejecutarlas como mejor les parezca».