Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Serang Dunia Spacecolon Sebarkan Ransomware Scarab
  • Ransomware

Serang Dunia Spacecolon Sebarkan Ransomware Scarab

3 min read
Serang Dunia Spacecolon Sebarkan Ransomware Scarab

Credit Image: Pixabay

Serang dunia Spacecolon sebarkan ransomware Scarab kepada korbannya di seluruh dunia. kemungkinan mereka menemukan jalan masuk ke perusahaan korban melalui operatornya yang menyusupi server web yang rentan atau melalui brute force kredensial RDP.

Spacecolon dicurigai berasal dari Turki karena ditemukan banyak stringTurki. ESET melacak alat ini sampai ke Mei 2020 dan masih terus melihat ancaman dari operasi baru mereka sampai saat ini, dengan versi terbaru pada Mei 2023.

Baca juga: Panduan ransomware Singkat

Tiga Komponen Delphi.

Spacecolon terdiri dari tiga komponen Delphi, secara internal dikenal sebagai

  1. HackTool.
  2. Installer.
  3. Service.

Ketiganya kemudian disebut sebagai ScHackTool, ScInstaller, dan ScService. ScHackTool adalah komponen orkestrator utama, yang memungkinkan CosmicBeetle menerapkan dua komponen lainnya.

ScInstaller adalah komponen kecil dengan satu tujuan: untuk menginstal ScService. ScService bertindak sebagai backdoor, memungkinkan CosmicBeetle menjalankan perintah khusus, mengunduh dan mengeksekusi muatan, dan mengambil informasi sistem dari mesin yang disusupi.

Selain ketiga komponen ini, operator Spacecolon sangat bergantung pada beragam alat pihak ketiga, baik yang sah maupun berbahaya, yang disediakan Spacecolon sesuai permintaan.

Baca juga: Fenomena Ransomware Baru Bermunculan

Skenario Serangan Spacecolon

Nama Spacecolon diberikan oleh analis Zaufana Trzecia Strona, yang menulis publikasi pertama dan sepengetahuan ESET merupakan satu-satunya publikasi dalam bahasa Polandia tentang perangkat tersebut. Berdasarkan publikasi tersebut,

ESET setelah mendalami ancaman tersebut, merujuk pada publikasi namanya, ESET menyebut perangkat tersebut sebagai Spacecolon dan operatornya sebagai CosmicBeetle.

Skenario serangannya adalah sebagai berikut:

  1. CosmicBeetle mengkompromikan server web yang rentan atau sekadar memaksakan kredensial RDP-nya.
  2. CosmicBeetle menyebarkan ScHackTool.
  3. Dengan menggunakan ScHackTool, CosmicBeetle menggunakan alat pihak ketiga tambahan apa pun yang tersedia sesuai permintaan untuk menonaktifkan produk keamanan, mengekstrak informasi sensitif, dan mendapatkan akses lebih lanjut.
  4. Jika target dianggap berharga, CosmicBeetle dapat menyebarkan ScInstaller dan menggunakannya untuk menginstal ScService.
  5. ScService menyediakan akses jarak jauh lebih lanjut untuk CosmicBeetle.
  6. CosmicBeetle dapat memilih untuk menyebarkan ransomware Scarab melalui ScService atau secara manual.

Dalam beberapa kasus, ESET melihat ScService disebarkan melalui Ipacket, bukan ScInstaller, dan ScHackTool tidak digunakan sama sekali. ESET menyimpulkan bahwa menggunakan ScHackTool sebagai komponen awal bukanlah satu-satunya pendekatan yang digunakan operator Spacecolon.

Payload terakhir yang disebarkan CosmicBeetle adalah varian dari ransomware Scarab. Varian ini secara internal juga menyebarkan ClipBanker, sejenis malware yang memantau konten clipboard dan mengubah konten yang dianggap kemungkinan merupakan alamat dompet mata uang kripto menjadi alamat dompet yang dikendalikan penyerang.

Baca juga: Ransomware Eksploitasi Aplikasi MOVEit

Telemetri ESET

Telemetri ESET menunjukkan bahwa beberapa target disusupi melalui brute force RDP, hal ini selanjutnya didukung oleh alat tambahan. Alat pihak ketiga yang digunakan oleh penyerang, tersedia untuk operator Spacecolon.

Selain itu, ESET menilai dengan keyakinan tinggi bahwa CosmicBeetle menyalahgunakan kerentanan CVE-2020-1472 (ZeroLogon), berdasarkan alat .NET khusus.

Dengan tingkat keyakinan yang rendah, ESET menilai bahwa CosmicBeetle mungkin juga menyalahgunakan kerentanan di FortiOS untuk akses awal.

Diyakin hal ini didasarkan pada sebagian besar korban yang memiliki perangkat yang menjalankan FortiOS di lingkungannya dan bahwa komponen ScInstaller dan ScService mereferensikan string “Forti” dalam kode mereka.

Menurut CISA, tiga kerentanan FortiOS termasuk di antara kerentanan yang paling sering dieksploitasi pada tahun 2022. Sayangnya, belum ada rincian lebih lanjut tentang kemungkinan eksploitasi kerentanan tersebut selain artefak ini.

Semoga artikel mengenai serang dunia Spacecolon sebarkan ransomware Scarab ini menjadi informasi yang bermanfaat seputar kejahatan siber di dunia,

 

 

Baca lainnya:

  • Pencegahan Ransomware Berdasar Persyaratan Keamanan Kata Sandi
  • 3 Fase Serangan Ransomware
  • Anatomi Serangan Ransomware
  • Persiapan Menghadapi Serangan Ransowmare
  • Ransomware Tren yang Tak Pernah Pupus
  • Serangan Multi Vektor Ransomware

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: ancaman scarab antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top ransomware scarab ransomware scarab serang dunia serangan spacecolon spacecolon spacecolon sebar scarab

Continue Reading

Previous: XLoader Menyamar sebagai OfficeNote
Next: Ratusan Ribu Ekstensi Browser Bermasalah

Related Stories

Bahaya Ransomware Play 900 Organisasi Jadi Korban Bahaya Ransomware Play 900 Organisasi Jadi Korban
3 min read
  • Ransomware

Bahaya Ransomware Play 900 Organisasi Jadi Korban

June 10, 2025
Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025
Model Afiliasi Gaya Baru Ransomware MEMATIKAN!! Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
3 min read
  • Ransomware

Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!

April 25, 2025

Recent Posts

  • Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
  • Phising Cerdik Google Apps Script
  • Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
  • Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal
  • Trik Phising Baru Blob URL
  • Lebih dari 84.000 Server Email Roundcube Berisiko Diserang
  • BladedFeline Mata-mata dalam Jaringan Kita
  • Ponsel Anda Dilacak Pahami Tandanya
  • ClickFix Memanfaatkan Perilaku Manusia
  • Ancaman Senyap yang Mengintai Kendali Sistem Anda (RAT)

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
3 min read
  • Teknologi

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan

June 13, 2025
Phising Cerdik Google Apps Script
3 min read
  • Teknologi

Phising Cerdik Google Apps Script

June 13, 2025
Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
3 min read
  • Teknologi

Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis

June 13, 2025
Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal Memahami anatomi serangan siber metode para pelaku kejahatan
3 min read
  • Teknologi

Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal

June 12, 2025

Copyright © All rights reserved. | DarkNews by AF themes.