Credit Image: Pixabay
Serang dunia Spacecolon sebarkan ransomware Scarab kepada korbannya di seluruh dunia. kemungkinan mereka menemukan jalan masuk ke perusahaan korban melalui operatornya yang menyusupi server web yang rentan atau melalui brute force kredensial RDP.
Spacecolon dicurigai berasal dari Turki karena ditemukan banyak stringTurki. ESET melacak alat ini sampai ke Mei 2020 dan masih terus melihat ancaman dari operasi baru mereka sampai saat ini, dengan versi terbaru pada Mei 2023.
|
Baca juga: Panduan ransomware Singkat |
Tiga Komponen Delphi.
Spacecolon terdiri dari tiga komponen Delphi, secara internal dikenal sebagai
- HackTool.
- Installer.
- Service.
Ketiganya kemudian disebut sebagai ScHackTool, ScInstaller, dan ScService. ScHackTool adalah komponen orkestrator utama, yang memungkinkan CosmicBeetle menerapkan dua komponen lainnya.
ScInstaller adalah komponen kecil dengan satu tujuan: untuk menginstal ScService. ScService bertindak sebagai backdoor, memungkinkan CosmicBeetle menjalankan perintah khusus, mengunduh dan mengeksekusi muatan, dan mengambil informasi sistem dari mesin yang disusupi.
Selain ketiga komponen ini, operator Spacecolon sangat bergantung pada beragam alat pihak ketiga, baik yang sah maupun berbahaya, yang disediakan Spacecolon sesuai permintaan.
|
Baca juga: Fenomena Ransomware Baru Bermunculan |
Skenario Serangan Spacecolon
Nama Spacecolon diberikan oleh analis Zaufana Trzecia Strona, yang menulis publikasi pertama dan sepengetahuan ESET merupakan satu-satunya publikasi dalam bahasa Polandia tentang perangkat tersebut. Berdasarkan publikasi tersebut,
ESET setelah mendalami ancaman tersebut, merujuk pada publikasi namanya, ESET menyebut perangkat tersebut sebagai Spacecolon dan operatornya sebagai CosmicBeetle.
Skenario serangannya adalah sebagai berikut:
- CosmicBeetle mengkompromikan server web yang rentan atau sekadar memaksakan kredensial RDP-nya.
- CosmicBeetle menyebarkan ScHackTool.
- Dengan menggunakan ScHackTool, CosmicBeetle menggunakan alat pihak ketiga tambahan apa pun yang tersedia sesuai permintaan untuk menonaktifkan produk keamanan, mengekstrak informasi sensitif, dan mendapatkan akses lebih lanjut.
- Jika target dianggap berharga, CosmicBeetle dapat menyebarkan ScInstaller dan menggunakannya untuk menginstal ScService.
- ScService menyediakan akses jarak jauh lebih lanjut untuk CosmicBeetle.
- CosmicBeetle dapat memilih untuk menyebarkan ransomware Scarab melalui ScService atau secara manual.
Dalam beberapa kasus, ESET melihat ScService disebarkan melalui Ipacket, bukan ScInstaller, dan ScHackTool tidak digunakan sama sekali. ESET menyimpulkan bahwa menggunakan ScHackTool sebagai komponen awal bukanlah satu-satunya pendekatan yang digunakan operator Spacecolon.
Payload terakhir yang disebarkan CosmicBeetle adalah varian dari ransomware Scarab. Varian ini secara internal juga menyebarkan ClipBanker, sejenis malware yang memantau konten clipboard dan mengubah konten yang dianggap kemungkinan merupakan alamat dompet mata uang kripto menjadi alamat dompet yang dikendalikan penyerang.
|
Baca juga: Ransomware Eksploitasi Aplikasi MOVEit |
Telemetri ESET
Telemetri ESET menunjukkan bahwa beberapa target disusupi melalui brute force RDP, hal ini selanjutnya didukung oleh alat tambahan. Alat pihak ketiga yang digunakan oleh penyerang, tersedia untuk operator Spacecolon.
Selain itu, ESET menilai dengan keyakinan tinggi bahwa CosmicBeetle menyalahgunakan kerentanan CVE-2020-1472 (ZeroLogon), berdasarkan alat .NET khusus.
Dengan tingkat keyakinan yang rendah, ESET menilai bahwa CosmicBeetle mungkin juga menyalahgunakan kerentanan di FortiOS untuk akses awal.
Diyakin hal ini didasarkan pada sebagian besar korban yang memiliki perangkat yang menjalankan FortiOS di lingkungannya dan bahwa komponen ScInstaller dan ScService mereferensikan string “Forti” dalam kode mereka.
Menurut CISA, tiga kerentanan FortiOS termasuk di antara kerentanan yang paling sering dieksploitasi pada tahun 2022. Sayangnya, belum ada rincian lebih lanjut tentang kemungkinan eksploitasi kerentanan tersebut selain artefak ini.
Semoga artikel mengenai serang dunia Spacecolon sebarkan ransomware Scarab ini menjadi informasi yang bermanfaat seputar kejahatan siber di dunia,
Sumber berita:
