SpaceColon ツールキットを使用して導入された Scarab ランサムウェア

Aug 30, 2023

不正行為管理とサイバー犯罪、ランサムウェア

セキュリティ研究者によると、ハッカーは2020年に初めて登場し、Scarabランサムウェアを展開するためにトルコ語を話す人によって開発されたツールセットを使用しているようだという。

関連項目: ライブウェビナー | ペガサスの正体を暴く: 脅威を理解し、デジタル防御を強化する

サイバーセキュリティ企業Esetによると、SpaceColonと名付けられたこのツールキットは、ダウンローダー、インストーラー、そしてScarabの展開に使用されるバックドアという3つの主要コンポーネントで構成されているという。 SpaceColon は、ランサムウェアと同様、Delphi ソフトウェア言語で書かれています。 ポーランドのサイバーセキュリティ企業は2月にこのツールセットを初めて文書化した。

Eset は、SpaceColon の背後にある脅威アクターを「CosmicBeetle」と名付けました。 このツールキットのいくつかのビルドには「多くのトルコ語の文字列が含まれているため、トルコ語を話す開発者であると疑われる」とEset氏は書いている。

テレメトリによると、CosmicBeetle はリモート デスクトップ プロトコル インスタンスにパスワードをブルートフォース攻撃するか、Web サーバーを侵害することによってターゲットを侵害していることが示唆されています。 Eset は、CosmicBeetle のハッカーが Windows のパッチを適用して脆弱性を修正することが多いという事実に基づいて、この脅威グループが ZeroLogon として知られ、CVE-2020-1472 として追跡されている 2020 年の脆弱性を悪用していると「高い確信度」を持って評価しました。侵害されたシステム。

CosmicBeetle がフォーティネットのセキュリティ アプライアンス オペレーティング システム FortiOS の欠陥も悪用したかどうかについては、研究者らにはあまり確信がありません。 彼らは、「被害者の大多数が環境内でFortiOSを実行しているデバイスを持っていること」と、SpaceColonのコンポーネントがコード内で文字列「Forti」を参照しているという事実に基づいて、そう信じていると述べた。 「残念ながら、これらのアーティファクト以外に、そのような脆弱性悪用の可能性に関する詳細はわかりません。」

CosmicBeetle の被害者にはパターンがないようで、被害者は世界中に分布しています。 Eset は、タイの病院と観光リゾート、イスラエルの保険会社、メキシコの学校、トルコの環境企業など、ほんの数社の名前を挙げました。 「CosmicBeetleはターゲットを選択しません。むしろ、重要なセキュリティアップデートが欠落しているサーバーを見つけて、それを有利に利用します」とEsetは書いている。

すべての SpaceColon ユーザーがダウンローダーとインストーラーを使用してバックドアを展開したわけではありません。 場合によっては、Impacket と呼ばれるオープンソース ツールキットを使用しました。

このツールキットの開発者は、EsetがSCRansomと名付けた新たなランサムウェアの配布も準備しているようだ。 一部のサンプルはすでにトルコから VirusTotal にアップロードされています。 Eset氏は、SpaceColonと新たなランサムウェアの開発者は「コード内の類似したトルコ語文字列、IPWorksライブラリの使用法、GUI全体の類似性に基づいて」同一であると述べた。 これまでのところ、このランサムウェアは実際には見つかっていません。