Бесплатно Экспресс-аудит сайта:

24.08.2023

Группа CosmicBeetle и киберэпидемия: как новый инструментарий ScRansom может стать глобальной угрозой

Специалисты ИБ-компании ESET обнаружили вредоносный набор инструментов ПО под названием Spacecolon. Инструментарий используется для распространения вариантов вымогательского ПО Scarab по всему миру.

Согласно исследованию, Spacecolon проникает в системы организаций, эксплуатируя уязвимости веб-серверов (например, Zerologon ) или используя методы брутфорса для атаки на учетные данные RDP (Remote Desktop Protocol).

Атаки Spacecolon зарегистрированы по всему миру, особенно активны они в странах Европейского Союза — Испании, Франции, Бельгии, Польше и Венгрии, а также в Турции и Мексике. Примечательно, что в некоторых версиях Spacecolon содержатся строки в коде на турецком языке, что указывает на возможное турецкое происхождение разработчика.

Хотя первые версии Spacecolon появились как минимум в мае 2020 года, новые кампании продолжаются, причем самая последняя была скомпилирована в мае 2023 года. Несмотря на тщательный анализ и отслеживание, ESET пока не смогла установить принадлежность инструментария к какой-либо известной группе киберпреступников. В результате исследователи решили обозначить операторов Spacecolon кодовым именем «CosmicBeetle».

Spacecolon состоит из трех основных компонентов, написанных на языке программирования Delphi: ScHackTool, ScInstaller и ScService. Компоненты позволяют CosmicBeetle устанавливать удаленный доступ, развертывать дополнительные инструменты и даже запускать атаки с использованием вымогательского ПО.

  • ScHackTool выступает в роли оркестратора, управляющего развертыванием ScInstaller и ScService;
  • ScInstaller создан исключительно для установки ScService;
  • ScService функционирует как бэкдор, позволяя CosmicBeetle выполнять команды, скачивать полезные нагрузки и собирать информацию о системе.

Конечной нагрузкой CosmicBeetle является вариант вымогательского ПО Scarab, который развертывает ClipBanker , вредоносное ПО, которое перехватывает содержимое буфера обмена и изменяет его как захочет злоумышленник.

В ходе анализа ESET также обнаружила разработку новой семьи вымогательского ПО, названной ScRansom. Предположительно, она создана тем же разработчиком, что и Spacecolon. ScRansom спроектирован для шифрования всех жестких, съемных и сетевых дисков с использованием алгоритма AES-128. Несмотря на то, что активных атак с использованием этого ПО пока не наблюдалось, исследователи полагают, что ScRansom все еще находится на стадии разработки.