Spacecolon steelt gevoelige gegevens door wereldwijd, ook in België, ransomware te verspreiden – Analyse door ESET
Het dringt waarschijnlijk in slachtofferorganisaties binnen via operatoren die kwetsbare webservers compromitteren of via brute forcering van RDP-inloggegevens. Verschillende Spacecolon-builds bevatten veel Turkse strings. Hierdoor gelooft ESET dat het geschreven is door een Turkstalige ontwikkelaar. ESET kon reeds de oorsprong van Spacecolon volgen tot mei 2020, en de campagnes blijven doorgaan. ESET noemde de operatoren van Spacecolon CosmicBeetle om de link naar “ruimte” en “scarabee” te maken.
Spacecolon-incidenten door ESET-telemetrie geïdentificeerd, omvatten de hele wereld, met een grote voorkeur voor landen van de Europese Unie, als België, Spanje, Frankrijk, Polen en Hongarije. ESET detecteerde ook een grote voorkeur voor Turkije en Mexico. CosmicBeetle lijkt de distributie van nieuwe ransomware, ScRansom, voor te bereiden.
Naast het installeren van ransomware biedt Spacecolon, na het compromitteren, een grote diversiteit aan tools van derden waarmee aanvallers beveiligingsproducten kunnen uitschakelen, gevoelige informatie kunnen extraheren en verdere toegang kunnen krijgen.
“We konden geen enkel patroon waarnemen bij de slachtoffers van Spacecolon, behalve dat ze kwetsbaar zijn voor de initiële toegangsmethoden gebruikt door CosmicBeetle. We hebben ook geen enkel patroon kunnen vinden in de doelwitten of hun omvang. Om een paar doelwitten aan te wijzen (per type en plaats): Spacecolon werd waargenomen in een ziekenhuis en toeristenresort in Thailand, een verzekeringsmaatschappij in Israël, een lokale overheidsinstelling in Polen, een entertainmentaanbieder in Brazilië, een bedrijf actief in milieubescherming in Turkije en een school in Mexico”, zegt Jakub Souček, ESET-onderzoeker en auteur van de analyse.
CosmicBeetle brengt waarschijnlijk webservers in gevaar die gevoelig zijn voor de ZeroLogon-kwetsbaarheid of met RDP-referenties die door brut kracht kunnen worden ingenomen. Bovendien kan Spacecolon een backdoortoegang bieden aan zijn operatoren. CosmicBeetle doet weinig moeite om zijn malware te verbergen en laat veel artefacten achter op besmette systemen.
Nadat een kwetsbare webserver door CosmicBeetle is gecompromitteerd, wordt ScHackTool ingezet. Dit is de belangrijkste Spacecolon-component die CosmicBeetle gebruikt. Het steunt zwaar op zijn GUI en de actieve deelname van zijn operatoren. Het stelt hen in staat de aanval te orkestreren, door naar eigen goeddunken extra tools op de gecompromitteerde machine te downloaden en uit te voeren. Wordt het doelwit belangrijk geacht, dan kan CosmicBeetle ScInstaller inzetten en gebruiken om ScService te installeren, wat verdere toegang op afstand biedt.
De laatste lading die CosmicBeetle inzet is een variant van Scarab-ransomware. Deze maakt intern gebruik van een ClipBanker, een soort malware dat de inhoud van het clipboard controleert en de inhoud, waarvan het denkt dat het een cryptocurrency portemonnee-adres is, verandert in een door de aanvaller beheerd adres.
Bovendien wordt er ook een nieuwe ransomware-familie ontwikkeld, met samples die vanuit Turkije naar VirusTotal worden geüpload. ESET Research is er zeker van dat het geschreven is door dezelfde ontwikkelaars als Spacecolon. ESET heeft het ScRansom genoemd. ScRansom probeert alle harde, verwijderbare en externe schijven te versleutelen. Dat deze ransomware in het wild wordt ingezet werd niet waargenomen, maar het lijkt zich nog in een ontwikkelingsfase te bevinden.
Lees, voor meer technische informatie over Spacecolon en CosmicBeetle, de blogpost “Scarabs colon-izing vulnerable servers” op www.welivesecurity.com. Blijf ook steeds ESET Research op Twitter (ESET Research on Twitter) volgen voor het laatste nieuws over ESET Research.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
