Kötü amaçlı bir araç seti Boşluk virgül Scarab fidye yazılımının çeşitlerini dünya çapında kurban kuruluşlara yaymak için devam eden bir kampanyanın parçası olarak kullanılıyor.
ESET güvenlik araştırmacısı Jakub Souček, Salı günü yayınlanan ayrıntılı bir teknik yazısında, “Muhtemelen, operatörlerinin savunmasız web sunucularını tehlikeye atması veya RDP kimlik bilgilerini kaba zorlama yoluyla mağdur kuruluşlara ulaşma yolunu buluyor.” dedi.
Tehdit aktörüne CosmicBeetle adını veren Slovak siber güvenlik firması, Spacecolon’un kökenlerinin Mayıs 2020’ye dayandığını söyledi. En yüksek kurban yoğunluğu Fransa, Meksika, Polonya, Slovakya, İspanya ve Türkiye’de tespit edildi.
Düşmanın kesin kaynağı belirsiz olsa da, birkaç Spacecolon varyantının Türkçe dizeler içerdiği söyleniyor ve bu da muhtemelen Türkçe konuşan bir geliştiricinin olaya dahil olduğuna işaret ediyor. Şu anda onu bilinen başka bir tehdit aktörü grubuyla ilişkilendiren hiçbir kanıt yok.
Hedeflerden bazıları arasında Tayland’da bir hastane ve turizm tesisi, İsrail’de bir sigorta şirketi, Polonya’da yerel bir devlet kurumu, Brezilya’da bir eğlence sağlayıcısı, Türkiye’de bir çevre şirketi ve Meksika’da bir okul yer alıyor.
Souček, “CosmicBeetle hedeflerini seçmiyor; bunun yerine kritik güvenlik güncellemelerinin eksik olduğu sunucuları buluyor ve bunu kendi avantajına kullanıyor” dedi.
Spacecolon’un ilk olarak Polonyalı şirket Zaufana Trzecia Strona tarafından Şubat 2023’ün başlarında belgelendiğini belirtmekte fayda var; bu da muhtemelen rakibin kamuya yapılan açıklamalara yanıt olarak cephaneliğinde değişiklik yapmasına neden oldu.
Spacecolon’un ana bileşeni, bir yükleyiciyi dağıtmak için kullanılan Delhi merkezli bir orkestratör olan ScHackTool’dur; adından da anlaşılacağı gibi, özel komutları yürütmek, yükleri indirmek ve yürütmek ve ele geçirilen sistem bilgilerini almak için özelliklere sahip bir arka kapı olan ScService’i yükler. makineler.
ScHackTool ayrıca uzak bir sunucudan getirilen çok çeşitli üçüncü taraf araçları kurmak için bir kanal görevi görür (193.149.185)[.]23). Saldırıların nihai amacı, Scarab fidye yazılımının bir çeşidini sunmak için ScService’in sağladığı erişimden yararlanmaktır.
ESET tarafından tanımlanan enfeksiyon zincirinin alternatif bir versiyonu, ScHackTool yerine ScService’i dağıtmak için Impacket’in kullanılmasını gerektiriyor; bu da tehdit aktörlerinin farklı yöntemler denediğini gösteriyor.
CosmicBeetle’ın mali amaçları, fidye yazılımı yükünün aynı zamanda sistem panosundaki sekmeleri tutmak ve saldırganın kontrolü altındakilere yönelik kripto para birimi cüzdan adreslerini değiştirmek için bir kesici kötü amaçlı yazılım bırakması gerçeğiyle daha da güçleniyor.
Dahası, saldırganın ScRansom adı verilen yeni bir fidye yazılımı türünü aktif olarak geliştirdiğine dair kanıtlar var; bu tür, sabit kodlu bir diziden oluşturulan bir anahtarla AES-128 algoritmasını kullanarak tüm sabit, çıkarılabilir ve uzak sürücüleri şifrelemeye çalışıyor.
Souček, “CosmicBeetle, kötü amaçlı yazılımını gizlemek için fazla çaba harcamıyor ve güvenliği ihlal edilmiş sistemlerde pek çok eser bırakıyor” dedi. “Anti-analiz veya anti-emülasyon teknikleri çok az uygulanıyor veya hiç uygulanmıyor. ScHackTool, GUI’sine büyük ölçüde güveniyor, ancak aynı zamanda birkaç işlevsiz düğme içeriyor.”
“CosmicBeetle operatörleri ScHackTool’u esas olarak güvenliği ihlal edilmiş makinelere tercih ettikleri ek araçları indirmek ve bunları uygun gördükleri şekilde çalıştırmak için kullanıyor.”