Ερευνητές ασφαλείας από την ESET ανακάλυψαν ένα κακόβουλο toolset με το όνομα Spacecolon που χρησιμοποιείται για τη διάδοση παραλλαγών του ransomware Scarab.
Σύμφωνα με την έκθεση της ESET, το Spacecolon toolset πιστεύεται ότι αποκτά πρόσβαση σε συστήματα-δίκτυα οργανισμών μέσω εκμετάλλευσης ευάλωτων web servers ή μέσω επιθέσεων brute-force σε Remote Desktop Protocol (RDP) credentials.
Οι ερευνητές λένε ότι ορισμένες εκδόσεις Spacecolon περιέχουν τουρκικά strings, υποδηλώνοντας τη συμμετοχή ενός τουρκόφωνου προγραμματιστή.
Δείτε επίσης: Η BlackCat ransomware συμμορία παραβίασε τη Seiko
Αν και το Spacecolon toolset έχει εμφανιστεί τουλάχιστον από τον Μάιο του 2020, νέες καμπάνιες βρίσκονται σε εξέλιξη, με την πιο πρόσφατη έκδοση να έχει εντοπιστεί τον Μάιο του 2023. Παρά την εκτεταμένη παρακολούθηση και ανάλυση, η ESET δεν έχει ακόμη αποδώσει τη χρήση του toolset σε κάποια συγκεκριμένη (γνωστή) hacking ομάδα. Ως αποτέλεσμα, η εταιρεία αναφέρεται στους χειριστές του Spacecolon ως “CosmicBeetle“.
Από τεχνικής άποψης, το σύνολο εργαλείων περιλαμβάνει τρία κύρια Delphi components: ScHackTool, ScInstaller και ScService. Αυτά επιτρέπουν στους επιτιθέμενους να δημιουργούν απομακρυσμένη πρόσβαση, να αναπτύσσουν πρόσθετα εργαλεία, ακόμα και να πραγματοποιούν επιθέσεις ransomware.
Το ScHackTool, ενεργώντας ως ενορχηστρωτής, διαχειρίζεται την ανάπτυξη των δύο άλλων components, του ScInstaller και του ScService. Ο μοναδικός σκοπός του ScInstaller είναι να εγκαταστήσει το ScService, το οποίο λειτουργεί ως backdoor, επιτρέποντας στους hackers να εκτελούν εντολές, να κατεβάζουν κακόβουλα payloads και να ανακτούν πληροφορίες συστήματος.
Δείτε επίσης: Νέα παραλλαγή του BlackCat ransomware χρησιμοποιεί τα εργαλεία Impacket και RemCom
Αξίζει να σημειωθεί ότι εκτός από αυτά τα βασικά components, οι χειριστές του Spacecolon toolset χρησιμοποιούν και μια σειρά εργαλείων τρίτων, τόσο νόμιμων όσο και κακόβουλων.
Η ανάλυση της ESET αποκάλυψε, επίσης, την ανάπτυξη μιας νέας οικογένειας ransomware, του ScRansom, που πιστεύεται ότι δημιουργήθηκε από τον προγραμματιστή πίσω από το Spacecolon. Αυτό το νέο ransomware εμφανίζει παρόμοια τουρκικά strings στον κώδικά του, ενώ παρατηρούνται ομοιότητες και στο graphical user interface. Αν και δεν έχει παρατηρηθεί σε επιθέσεις, η ESET προτείνει ότι το ScRansom βρίσκεται ακόμη στο στάδιο ανάπτυξής του.
Δείτε επίσης: Cuba ransomware: Χρήση Veeam exploit για επιθέσεις σε κρίσιμες υποδομές
Περισσότερες πληροφορίες σχετικά με το Spacecolon toolset και τους δεσμούς του με το ransomware Scarab μπορείτε να βρείτε στην έκθεση της ESET.
Οι εγκληματίες του κυβερνοχώρου εξελίσσουν συνεχώς τις τεχνικές τους και χρησιμοποιούν διάφορα εργαλεία που τους επιτρέπουν να πραγματοποιούν πιο σοβαρές επιθέσεις με σκοπό να μολύνουν συστήματα με malware, να κλειδώσουν τα αρχεία των χρηστών (ransomware) και να κλέψουν πληροφορίες. Για να προστατευτείτε από τέτοιες απειλές, ενημερώστε τα συστήματά σας τακτικά, ώστε να αντιμετωπίζετε πιθανές ευπάθειες και χρησιμοποιήστε extra μέτρα προστασίας, όπως έλεγχο ταυτότητας δύο παραγόντων, δημιουργία αντιγράφων ασφαλείας, χρήση αξιόπιστου antivirus προγράμματος, χρήση firewall κλπ.
Πηγή: www.infosecurity-magazine.com
