Güvenlik araştırmacıları, Türkiye kökenli olduğunu düşündükleri CosmicBeetle grubunun Spacecolon araç setini analiz ederek Scarab fidye yazılımı savunmasız sunuculara dağıttıklarını tespit etti.
Spacecolon, hassas bilgileri çalma veya Scarab fidye yazılımı dağıtma yeteneğine sahip bir uzaktan erişim truva atı olarak hizmet ediyor. CosmicBeetle muhtemelen ZeroLogon’a karşı savunmasız web sunucularını veya kaba kuvvet uygulayabildiği RDP kimlik bilgilerini hedefliyor.
CosmicBeetle’ın ScRansom adı verilen yeni bir fidye yazılımının dağıtımına başlayacağı düşünülüyor. Muhtemelen kurban kuruluşlara, savunmasız web sunucuları aracılığıyla veya RDP kimlik bilgilerini kaba kuvvetle zorlayarak sızıyor.
Geçmişi 2020 yılına kadar uzanıyor
Spacecolon’un geçmişi en az Mayıs 2020’ye kadar uzanıyor ve faaliyetleri devam ediyor. Spacecolon’un operatörlerine “uzay” ve “scarab” bağlantısını temsil etmesi için CosmicBeetle adını verdi.
Spacecolon vakaları, İspanya, Fransa, Belçika, Polonya ve Macaristan gibi Avrupa Birliği ülkelerinde yüksek yaygınlıkla birlikte tüm dünyayı kapsıyor. Ayrıca Türkiye ve Meksika’da yüksek yaygınlık tespit etti. CosmicBeetle, yeni fidye yazılımı ScRansom’un dağıtımını hazırlıyor gibi görünüyor. Spacelogon, sunucuları ele geçirdikten sonra fidye yazılımı yüklemenin yanı sıra saldırganların güvenlik ürünlerini devre dışı bırakmasına, hassas bilgileri çalmasına ve daha fazla erişim elde etmesine olanak tanıyan çok çeşitli üçüncü taraf araçlar içeriyor.
CosmicBeetle muhtemelen ZeroLogon güvenlik açığına karşı savunmasız olan web sunucularını ya da kaba kuvvet uygulayabildiği RDP kimlik bilgilerine sahip olanları hedeflliyor. Spacecolon ayrıca operatörlerine arka kapı erişimi de sağlayabiliyor. CosmicBeetle kötü amaçlı yazılımını gizlemek için kayda değer bir çaba göstermiyor ve ele geçirilen sistemlerde çok sayıda iz bırakıyor.
Yeni bir fidye yazılımı geliştiriliyor
CosmicBeetle savunmasız bir web sunucusunu ele geçirdikten sonra, kullandığı ana Spacecolon bileşeni olan ScHackTool’u konuşlandırıyor. Saldırıları büyük ölçüde aracın GUI’sine ve operatörlerinin aktif katılımına dayanıyor.
Uygun gördükleri şekilde talep üzerine sızdıkları makineye ek araçlar indirmelerine ve çalıştırmalarına olanak tanıyor. CosmicBeetle eğer hedefin değerli olduğunu düşünürse, ScInstaller’ı dağıtabilir ve daha fazla uzaktan erişim sağlayan ScService’i yüklemek için kullanabilir.
CosmicBeetle’ın dağıttığı son yük Scarab fidye yazılımının bir varyantı. Bu varyant dahili olarak pano içeriğini izleyen ve kripto para cüzdanı adresi olabileceğini düşündüğü içeriği saldırgan tarafından kontrol edilen bir adresle değiştiren bir kötü amaçlı yazılım türü olan ClipBanker’ı kullanıyor.
Huawei Nova 11 Pro inceleme: Yok böyle şıklık!
