24/08/23
Специалисты ИБ-компании ESET обнаружили вредоносный набор инструментов ПО под названием Spacecolon. Инструментарий используется для распространения вариантов вымогательского ПО Scarab по всему миру.
Согласно исследованию, Spacecolon проникает в системы организаций, эксплуатируя уязвимости веб-серверов (например, Zerologon) или используя методы брутфорса для атаки на учетные данные RDP (Remote Desktop Protocol). Это пишет Securitylab.
Атаки Spacecolon зарегистрированы по всему миру, особенно активны они в странах Европейского Союза — Испании, Франции, Бельгии, Польше и Венгрии, а также в Турции и Мексике. Примечательно, что в некоторых версиях Spacecolon содержатся строки в коде на турецком языке, что указывает на возможное турецкое происхождение разработчика.
Хотя первые версии Spacecolon появились как минимум в мае 2020 года, новые кампании продолжаются, причем самая последняя была скомпилирована в мае 2023 года. Несмотря на тщательный анализ и отслеживание, ESET пока не смогла установить принадлежность инструментария к какой-либо известной группе киберпреступников. В результате исследователи решили обозначить операторов Spacecolon кодовым именем «CosmicBeetle».
Spacecolon состоит из трех основных компонентов, написанных на языке программирования Delphi: ScHackTool, ScInstaller и ScService. Компоненты позволяют CosmicBeetle устанавливать удаленный доступ, развертывать дополнительные инструменты и даже запускать атаки с использованием вымогательского ПО.
- ScHackTool выступает в роли оркестратора, управляющего развертыванием ScInstaller и ScService;
- ScInstaller создан исключительно для установки ScService;
- ScService функционирует как бэкдор, позволяя CosmicBeetle выполнять команды, скачивать полезные нагрузки и собирать информацию о системе.
Конечной нагрузкой CosmicBeetle является вариант вымогательского ПО Scarab, который развертывает ClipBanker , вредоносное ПО, которое перехватывает содержимое буфера обмена и изменяет его как захочет злоумышленник.
В ходе анализа ESET также обнаружила разработку новой семьи вымогательского ПО, названной ScRansom. Предположительно, она создана тем же разработчиком, что и Spacecolon. ScRansom спроектирован для шифрования всех жестких, съемных и сетевых дисков с использованием алгоритма AES-128. Несмотря на то, что активных атак с использованием этого ПО пока не наблюдалось, исследователи полагают, что ScRansom все еще находится на стадии разработки.
