SpaceColon 툴킷을 사용해 배포된 Scarab 랜섬웨어

Aug 30, 2023

사기 관리 및 사이버 범죄, 랜섬웨어

보안 연구원에 따르면 해커들은 2020년에 처음 등장했으며 터키어 사용자가 Scarab 랜섬웨어를 배포하기 위해 개발한 것으로 보이는 도구 세트를 사용하고 있다고 합니다.

참조: 라이브 웹 세미나 | Unmasking Pegasus: 위협 파악 및 디지털 방어 강화

사이버 보안 회사인 Eset은 SpaceColon이라고 불리는 이 툴킷이 다운로더, 설치 프로그램, Scarab을 배포하는 데 사용되는 백도어의 세 가지 주요 구성 요소로 구성되어 있다고 밝혔습니다. SpaceColon은 랜섬웨어와 마찬가지로 Delphi 소프트웨어 언어로 작성되었습니다. 폴란드 사이버 보안 회사는 2월에 처음으로 도구 세트를 문서화했습니다.

Eset은 SpaceColon 배후의 위협 행위자를 "CosmicBeetle"이라고 불렀습니다. 툴킷의 여러 빌드에는 "많은 터키어 문자열이 포함되어 있으므로 터키어를 사용하는 개발자가 의심됩니다"라고 Eset은 썼습니다.

원격 측정법에 따르면 CosmicBeetle은 원격 데스크톱 프로토콜 인스턴스에 대한 암호를 무차별 대입하거나 웹 서버를 손상시켜 대상을 손상시키는 것으로 나타났습니다. Eset은 CosmicBeetle 해커가 일단 액세스 권한을 설정한 후 결함을 수정하기 위해 Windows 패치를 적용하는 경우가 많다는 사실을 기반으로 위협 그룹이 CVE-2020-1472로 추적되는 ZeroLogon으로 알려진 2020년 취약점을 악용하고 있다고 "높은 신뢰도"로 평가했습니다. 손상된 시스템.

연구원들은 CosmicBeetle이 Fortinet 보안 어플라이언스 운영 체제인 FortiOS의 결함을 악용했는지 여부도 확신하지 못했습니다. 그들은 "대부분의 피해자가 자신의 환경에서 FortiOS를 실행하는 장치를 가지고 있고" SpaceColon의 구성 요소가 코드에서 "Forti" 문자열을 참조한다는 사실을 바탕으로 그렇게 믿고 있다고 말했습니다. "안타깝게도 이러한 아티팩트 외에 취약점 악용 가능성에 대한 자세한 내용은 없습니다."

전 세계에 퍼져 있는 CosmicBeetle 피해자들에게는 패턴이 없는 것 같습니다. Eset은 태국 병원 및 관광 리조트, 이스라엘 보험 회사, 멕시코 학교, 터키 환경 회사 등 몇 가지 회사를 언급했습니다. "CosmicBeetle은 대상을 선택하지 않습니다. 오히려 중요한 보안 업데이트가 누락된 서버를 찾아 이를 활용합니다."라고 Eset은 썼습니다.

모든 SpaceColon 사용자가 다운로더와 설치 프로그램을 사용하여 백도어를 배포한 것은 아닙니다. 어떤 경우에는 Impacket이라는 오픈 소스 툴킷을 사용했습니다.

또한 이 툴킷 ​​개발자들은 Eset이 SCRansom이라고 명명한 새로운 랜섬웨어 배포를 준비하고 있는 것으로 보입니다. 일부 샘플은 이미 터키에서 VirusTotal에 업로드되었습니다. Eset은 SpaceColon과 새로운 랜섬웨어의 개발자가 "코드의 유사한 터키어 문자열, IPWorks 라이브러리 사용 및 전반적인 GUI 유사성을 기반으로" 동일하다고 말했습니다. 아직까지 랜섬웨어는 실제로 발견되지 않았습니다.