Um conjunto de ferramentas maliciosas chamado Spacecolon está sendo usado como parte de uma campanha em andamento para disseminar variantes do ransomware Scarab em organizações vítimas globalmente.
"Provavelmente, ele encontra seu caminho nas organizações vítimas por meio de seus operadores comprometendo servidores web vulneráveis ou através de força bruta nas credenciais RDP", disse o pesquisador de segurança ESET Jakub Souček em um detalhado texto técnico publicado terça-feira.
A empresa de cibersegurança eslovaca, que apelidou o ator de ameaça de CosmicBeetle, disse que as origens do Spacecolon remontam a maio de 2020.
A maior concentração de vítimas foi detectada na França, México, Polônia, Eslováquia, Espanha e Turquia.
Embora a origem exata do adversário seja incerta, vários variantes Spacecolon disseram conter strings turcas, apontando provavelmente para o envolvimento de um desenvolvedor de língua turca.
Atualmente, não há evidências que o liguem a qualquer outro grupo de atores de ameaças conhecidos.
Alguns dos alvos incluem um hospital e um resort turístico na Tailândia, uma companhia de seguros em Israel, uma instituição governamental local na Polônia, um provedor de entretenimento no Brasil, uma empresa ambiental na Turquia e uma escola no México.
"CosmicBeetle não escolhe seus alvos; ao invés disso, encontra servidores com atualizações de segurança críticas em falta e as explora para seu benefício", apontou Souček.
Vale a pena notar que o Spacecolon foi documentado pela primeira vez pela empresa polonesa Zaufana Trzecia Strona no início de fevereiro de 2023, provavelmente levando o adversário a ajustar seu arsenal em resposta a divulgações públicas.
O principal componente do Spacecolon é o ScHackTool, um orquestrador com base em Delhi que é usado para implantar um instalador que, como o nome implica, instala ScService, um backdoor com recursos para executar comandos personalizados, baixar e executar payloads e recuperar informações de sistema de máquinas comprometidas.
ScHackTool também funciona como um conduto para configurar uma vasta gama de ferramentas de terceiros buscadas de um servidor remoto (193.149.185[.]23).
O objetivo final dos ataques é aproveitar o acesso permitido pelo ScService para entregar uma variante do ransomware Scarab.
Uma versão alternativa da cadeia de infecção identificada pela ESET envolve o uso do Impacket para implantar ScService ao invés de usar ScHackTool, indicando que os atores de ameaças estão experimentando diferentes métodos.
Os motivos financeiros do CosmicBeetle são ainda mais reforçados pelo fato de que o payload do ransomware também libera um malware clipper para acompanhar a área de transferência do sistema e modificar endereços de carteira de criptomoedas para aqueles sob o controle do invasor.
Além disso, há evidências de que o adversário está ativamente desenvolvendo uma nova cepa de ransomware chamada ScRansom, que procura criptografar todas as unidades rígidas, removíveis e remotas com o algoritmo AES-128 com uma chave gerada a partir de uma string codificada.
"CosmicBeetle não faz muito esforço para esconder seu malware e deixa muitos artefatos em sistemas comprometidos", disse Souček.
"Poucas ou nenhuma técnica anti-análise ou anti-emulação é implementada.
ScHackTool depende fortemente de sua GUI, mas, ao mesmo tempo, contém vários botões não funcionais."
"Os operadores do CosmicBeetle usam o ScHackTool principalmente para baixar ferramentas adicionais de sua escolha para máquinas comprometidas e executá-las conforme acharem adequado."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...