• Spacecolon, een kleine toolset die wordt gebruikt om varianten van Scarab ransomware uit te rollen naar slachtoffers over de hele wereld. ESET Research gelooft dat het afkomstig is uit Turkije.
• De door ESET CosmicKebab genoemde operatoren hebben geen duidelijke doelwitten; met de meeste detecties in Europese landen, Turkije en Mexico.
• Spacecolon kan dienen als een remote access trojan met de mogelijkheid om gevoelige informatie te achterhalen en/of Scarab ransomware te implementeren.
• CosmicKebab brengt waarschijnlijk webservers in gevaar die kwetsbaar zijn voor de ZeroLogon-servers waarvan de RDP-referenties geforceerd kunnen worden.
• Spacecolon-operators of -ontwikkelaars lijken de distributie van nieuwe ransomware voor te bereiden, welke we ScRansom hebben genoemd.
Sliedrecht, 22 augustus 2023 – ESET -onderzoekers hebben hun analyse over Spacecolon vrijgegeven een kleine toolset die wordt gebruikt om varianten van Scarab ransomware uit te rollen naar slachtoffers over de hele wereld. Het dringt waarschijnlijk binnen bij slachtofferorganisaties door beheerders die kwetsbare webservers compromitteren of door RDP-referenties te forceren. Verschillende versies van Spacecolon bevatten veel Turkse tekens; daarom denkt ESET dat het een Turkssprekende ontwikkelaar is. ESET was in staat om de oorsprong van Spacecolon te traceren tot minimaal mei 2020 en de campagnes zijn nog gaande. ESET kende de naam CosmicKebab toe aan de ontwikkelaars van Spacecolon om de link met Turkije weer te geven.
Spacecolon incidenten, geïdentificeerd door ESET-telemetrie, beslaan de hele wereld met een hoge verspreiding in landen van de Europese Unie zoals Spanje, Frankrijk, België, Polen en Hongarije, elders detecteerde ESET een hoge verspreiding in Turkije en Mexico. Spacecolon exploitanten of ontwikkelaars lijken de distributie van nieuwe ransomware voor te bereiden - ScRansom. Na de compromittering kunnen ze de ransomware niet alleen installeren, maar ook gebruiken als een externe toegangstrojan en kunnen de beheerders beveiligingsproducten uitschakelen, gevoelige informatie extraheren en verdere toegang verkrijgen.
"We hebben geen patroon waargenomen bij de slachtoffers van Spacecolon, behalve dat ze kwetsbaar zijn voor de aanvankelijke toegangsmethoden van CosmicKebab. We hebben ook geen patroon gevonden in het doelgebied of de omvang. Echter, om een paar doelgebieden te noemen (per type en geografie), hebben we Spacecolon waargenomen bij een ziekenhuis en toeristenoord in Thailand, een verzekeringsmaatschappij in Israël, een lokale overheidsinstelling in Polen, een entertainmentprovider in Brazilië, een milieubedrijf in Turkije en een school in Mexico," zegt ESET-onderzoeker Jakub Souček, auteur van de analyse.
De beheerders van CosmicKebab compromitteren waarschijnlijk webservers die kwetsbaar zijn voor de ZeroLogon-servers waarvan ze de RDP-referenties kunnen forceren. Daarnaast kan Spacecolon achterdeurtoegang verschaffen aan zijn beheerders. CosmicKebab doet niet veel moeite om hun malware te verbergen en laat veel sporen achter op aangetaste systemen.
Nadat CosmicKebab een kwetsbaar web heeft gecompromitteerd, zet het ScHackTool in. ScHackTool is de belangrijkste Spacecolon-component die wordt gebruikt door de beheerders. Het leunt zwaar op zijn GUI en actieve deelname van de beheerders; het stelt hen in staat om de aanval te organiseren en naar wens extra tools te downloaden en uit te voeren op de aangetaste machine. Ze kunnen beveiligingsproducten uitschakelen, gevoelige informatie extraheren en verdere toegang verkrijgen. Als het doelwit waardevol wordt geacht, kan CosmicKebab ScInstaller implementeren en gebruiken om ScService te installeren, die verdere toegang op afstand biedt.
De laatste payload die CosmicKebab gebruikt is een variant van Scarab ransomware. Deze variant gebruikt ook intern een ClipBanker, een type malware dat de inhoud van het klembord controleert en de inhoud die waarschijnlijk een adres van een cryptocurrency-wallet is, verandert in een adres dat door de aanvaller wordt gecontroleerd.
Verder wordt er een nieuwe ransomware-familie ontwikkeld door SpaceKebab, met monsters die zijn geüpload naar VirusTotal vanuit Turkije. ESET Research gelooft met grote zekerheid dat het is geschreven door dezelfde ontwikkelaar als Spacecolon en werd door ESET ScRansom genoemd. ScRansom probeert alle harde, verwijderbare en externe schijven te versleutelen. ESET heeft niet waargenomen dat deze ransomware in de praktijk wordt ingezet en het lijkt zich nog in een ontwikkelingsstadium te bevinden.
Voor meer technische informatie over Spacecolon en SpaceKebab, bekijk de blogpost "Scarabs koloniseren kwetsbare servers" op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.