Программа-вымогатель Scarab, развернутая с помощью набора инструментов SpaceColon

Aug 30, 2023

Борьба с мошенничеством и киберпреступность , Программы-вымогатели

По словам исследователей безопасности, хакеры используют набор инструментов, который впервые появился в 2020 году и, по-видимому, был разработан носителями турецкого языка для развертывания программы-вымогателя Scarab.

См. также: Живой вебинар | Разоблачение Пегаса: осознайте угрозу и укрепите свою цифровую защиту

Компания Eset, занимающаяся кибербезопасностью, сообщила, что набор инструментов, получивший название SpaceColon, состоит из трех основных компонентов: загрузчика, установщика и бэкдора, используемого для развертывания Scarab. SpaceColon, как и программа-вымогатель, написана на языке программного обеспечения Delphi. Польская фирма по кибербезопасности впервые задокументировала набор инструментов в феврале.

Компания Eset назвала создателей угроз, стоящих за SpaceColon, «CosmicBeetle». Некоторые сборки инструментария «содержат много турецких строк; поэтому мы подозреваем, что разработчик говорит по-турецки», пишет Eset.

Телеметрия предполагает, что CosmicBeetle компрометирует цели, подбирая пароль к экземплярам протокола удаленного рабочего стола или компрометируя веб-серверы. Eset с «высокой степенью уверенности» оценила, что группа угроз использует уязвимость 2020 года, известную как ZeroLogon, отслеживаемую как CVE-2020-1472, основываясь на том факте, что хакеры CosmicBeetle часто применяют исправления Windows для устранения уязвимости после того, как они установили доступ к скомпрометированная система.

Исследователи менее уверены, что CosmicBeetle также злоупотребил недостатками в операционной системе Fortinet для устройств безопасности Fortinet FortiOS. Они заявили, что так считают «на основании того, что у подавляющего большинства жертв есть устройства под управлением FortiOS» и того факта, что компоненты SpaceColon ссылаются на строку «Forti» в своем коде. «К сожалению, у нас нет никаких дополнительных подробностей о такой возможной эксплуатации уязвимостей, кроме этих артефактов».

Похоже, что жертвы CosmicBeetle, которые разбросаны по всему миру, не имеют какой-либо закономерности. Eset назвала лишь некоторые из них: тайскую больницу и туристический курорт, израильскую страховую компанию, мексиканскую школу и экологическую компанию в Турции. «CosmicBeetle не выбирает цели; скорее, он находит серверы с отсутствующими критическими обновлениями безопасности и использует это в своих интересах», — пишет Eset.

Не каждый пользователь SpaceColon использовал загрузчик и установщик для развертывания бэкдора. В некоторых случаях они использовали набор инструментов с открытым исходным кодом под названием Impacket.

Разработчики набора инструментов, похоже, также готовятся к распространению нового вируса-вымогателя, который Eset назвал SCRansom. Некоторые образцы уже загружены на VirusTotal из Турции. В компании Eset заявили, что разработчики SpaceColon и нового вируса-вымогателя одинаковы «на основе схожих турецких строк в коде, использования библиотеки IPWorks и общего сходства графического интерфейса». На данный момент программа-вымогатель не обнаружена в дикой природе.