Un ensemble d’outils malveillants baptisé Espacecolon est déployé dans le cadre d’une campagne en cours visant à propager des variantes du ransomware Scarab parmi les organisations victimes à l’échelle mondiale.
« Il se fraie probablement un chemin dans les organisations victimes lorsque ses opérateurs compromettent des serveurs Web vulnérables ou via le forçage brutal des informations d’identification RDP », a déclaré Jakub Souček, chercheur en sécurité chez ESET, dans un article technique détaillé publié mardi.
La société slovaque de cybersécurité, qui a surnommé l’acteur malveillant CosmicBeetle, a déclaré que les origines du Spacecolon remontaient à mai 2020. La plus forte concentration de victimes a été détectée en France, au Mexique, en Pologne, en Slovaquie, en Espagne et en Turquie.
Bien que la provenance exacte de l’adversaire ne soit pas claire, plusieurs variantes de Spacecolon contiendraient des chaînes turques, ce qui indique probablement l’implication d’un développeur turcophone. Il n’existe actuellement aucune preuve le liant à un autre groupe d’acteurs menaçants connu.
Certaines des cibles incluent un hôpital et une station touristique en Thaïlande, une compagnie d’assurance en Israël, une institution gouvernementale locale en Pologne, un fournisseur de divertissement au Brésil, une entreprise environnementale en Turquie et une école au Mexique.
« CosmicBeetle ne choisit pas ses cibles ; il trouve plutôt des serveurs sur lesquels des mises à jour de sécurité critiques manquent et exploite cela à son avantage », a souligné Souček.
Il convient de noter que Spacecolon a été documenté pour la première fois par la société polonaise Zaufana Trzecia Strona début février 2023, ce qui a probablement incité l’adversaire à modifier son arsenal en réponse aux divulgations publiques.
Le composant principal de Spacecolon est ScHackTool, un orchestrateur basé à Delhi utilisé pour déployer un programme d’installation qui, comme son nom l’indique, installe ScService, une porte dérobée avec des fonctionnalités permettant d’exécuter des commandes personnalisées, de télécharger et d’exécuter des charges utiles et de récupérer des informations système à partir de composants compromis. Machines.
ScHackTool fonctionne également comme un canal pour configurer un large éventail d’outils tiers récupérés à partir d’un serveur distant (193.149.185[.]23). Le but ultime des attaques est d’exploiter l’accès offert par ScService pour proposer une variante du ransomware Scarab.
Une version alternative de la chaîne d’infection identifiée par ESET implique l’utilisation d’Impacket pour déployer ScService plutôt que l’utilisation de ScHackTool, indiquant que les acteurs de la menace expérimentent différentes méthodes.
Les motivations financières de CosmicBeetle sont encore renforcées par le fait que la charge utile du ransomware supprime également un malware clipper pour garder un œil sur le presse-papiers du système et modifier les adresses des portefeuilles de crypto-monnaie en celles sous le contrôle de l’attaquant.
En outre, il existe des preuves que l’adversaire développe activement une nouvelle souche de ransomware baptisée ScRansom, qui tente de chiffrer tous les disques durs, amovibles et distants à l’aide de l’algorithme AES-128 avec une clé générée à partir d’une chaîne codée en dur.
« CosmicBeetle ne fait pas beaucoup d’efforts pour cacher ses logiciels malveillants et laisse de nombreux artefacts sur les systèmes compromis », a déclaré Souček. « Peu ou pas de techniques d’anti-analyse ou d’anti-émulation sont mises en œuvre. ScHackTool s’appuie fortement sur son interface graphique, mais contient en même temps plusieurs boutons non fonctionnels. »
« Les opérateurs de CosmicBeetle utilisent ScHackTool principalement pour télécharger des outils supplémentaires de leur choix sur des machines compromises et les exécuter comme bon leur semble. »
