Kötü amaçlı bir araç seti Boşluk virgül Scarab fidye yazılımının çeşitlerini dünya çapında kurban kuruluşlara yaymak için devam eden bir kampanyanın parçası olarak kullanılıyor.
ESET güvenlik araştırmacısı Jakub Souček, “Muhtemelen operatörlerinin savunmasız web sunucularını tehlikeye atması veya RDP kimlik bilgilerini kaba zorlama yoluyla kurban kuruluşlara ulaşma yolunu buluyor.” söz konusu Salı günü yayınlanan ayrıntılı bir teknik yazıda.
Tehdit aktörüne CosmicBeetle adını veren Slovak siber güvenlik firması, Spacecolon’un kökenlerinin Mayıs 2020’ye dayandığını söyledi. En yüksek kurban yoğunluğu Fransa, Meksika, Polonya, Slovakya, İspanya ve Türkiye’de tespit edildi.
Düşmanın kesin kaynağı belirsiz olsa da, birkaç Spacecolon varyantının Türkçe dizeler içerdiği söyleniyor ve bu da muhtemelen Türkçe konuşan bir geliştiricinin olaya dahil olduğuna işaret ediyor. Şu anda onu bilinen başka bir tehdit aktörü grubuyla ilişkilendiren hiçbir kanıt yok.
Hedeflerden bazıları arasında Tayland’da bir hastane ve turizm tesisi, İsrail’de bir sigorta şirketi, Polonya’da yerel bir devlet kurumu, Brezilya’da bir eğlence sağlayıcısı, Türkiye’de bir çevre şirketi ve Meksika’da bir okul yer alıyor.
Souček, “CosmicBeetle hedeflerini seçmiyor; bunun yerine kritik güvenlik güncellemelerinin eksik olduğu sunucuları buluyor ve bunu kendi avantajına kullanıyor” dedi.
Spacecolon’un olduğunu belirtmekte fayda var ilk belgelenen Polonyalı şirket Zaufana Trzecia Strona tarafından Şubat 2023’ün başlarında yapıldı ve bu durum muhtemelen rakibin kamuya yapılan açıklamalara yanıt olarak cephaneliğinde değişiklik yapmasına neden oldu.
Spacecolon’un ana bileşeni, adından da anlaşılacağı gibi, özel komutları yürütmek, yükleri indirmek ve yürütmek ve ele geçirilen sistem bilgilerini almak için özelliklere sahip bir arka kapı olan ScService’i yükleyen bir yükleyiciyi dağıtmak için kullanılan Delphi tabanlı bir orkestratör olan ScHackTool’dur. makineler.
ScHackTool ayrıca uzak bir sunucudan getirilen çok çeşitli üçüncü taraf araçları kurmak için bir kanal görevi görür (193.149.185)[.]23). Saldırıların nihai amacı, ScService’in sağladığı erişimden yararlanarak, Bok böceği fidye yazılımı.
ESET tarafından tanımlanan enfeksiyon zincirinin alternatif bir versiyonu, aşağıdakilerin kullanılmasını gerektirir: Darbe ScHackTool’u kullanmak yerine ScService’i dağıtmak, tehdit aktörlerinin farklı yöntemler denediğini gösteriyor.
CosmicBeetle’ın mali amaçları, fidye yazılımı yükünün aynı zamanda sistem panosundaki sekmeleri tutmak ve saldırganın kontrolü altındakilere yönelik kripto para birimi cüzdan adreslerini değiştirmek için bir kesici kötü amaçlı yazılım bırakması gerçeğiyle daha da güçleniyor.
Ayrıca, saldırganın ScRansom adlı yeni bir fidye yazılımı türünü aktif olarak geliştirdiğine dair kanıtlar mevcut. Bu tür, tüm sabit, çıkarılabilir ve uzak sürücüleri şifrelemeye çalışıyor. AES-128 sabit kodlanmış bir dizeden oluşturulan bir anahtarla algoritma.
Souček, “CosmicBeetle, kötü amaçlı yazılımını gizlemek için fazla çaba harcamıyor ve güvenliği ihlal edilmiş sistemlerde pek çok eser bırakıyor” dedi. “Anti-analiz veya anti-emülasyon teknikleri çok az uygulanıyor veya hiç uygulanmıyor. ScHackTool, GUI’sine büyük ölçüde güveniyor, ancak aynı zamanda birkaç işlevsiz düğme içeriyor.”
“CosmicBeetle operatörleri ScHackTool’u esas olarak ele geçirilen makinelere tercih ettikleri ek araçları indirmek ve bunları uygun gördükleri şekilde çalıştırmak için kullanıyor.”
