Kosmikböcek Grubu, Türkiye kökenli olduğunu düşündükleri Spacecolon araç seti kullanarak Scarab fidye yazılımını dağıtmaya devam ediyor. Kosmikböcek Grubu, güvenlik araştırmacıları tarafından yapılan analizlerde, savunmasız sunuculara dağıtılan ve hassas verileri çalmaya veya Scarab fidye yazılımını dağıtmaya yetenekli olan bir uzaktan erişim truva atı olan Spacecolon’un yaratıcısı olarak belirlendi. Kosmikböcek Grubu, muhtemelen ZeroLogon güvenlik açığına sahip web sunucularını hedef alarak veya RDP kimlik bilgilerini kaba kuvvet uygulayarak saldırılarını gerçekleştiriyor.
CosmicBeetle adı verilen grup, ScRansom adlı yeni bir fidye yazılımını dağıtmaya başlamaya hazırlanıyor. Muhtemelen bu fidye yazılımını, savunmasız web sunucuları veya RDP kimlik bilgilerinin kaba kuvvetle zorlanması yoluyla kurban kuruluşlara sızarak dağıtıyor.
Spacecolon’un kökenleri 2020 yılına kadar uzanıyor ve hala aktif bir şekilde faaliyet gösteriyor. Spacecolon vakaları, Avrupa Birliği ülkeleri arasında İspanya, Fransa, Belçika, Polonya ve Macaristan gibi ülkelerde yaygın olarak görülüyor. Ayrıca, Türkiye ve Meksika’da da yüksek bir yaygınlık tespit edilmiştir. CosmicBeetle, ScRansom fidye yazılımının dağıtımını hazırlıyor gibi görünüyor. Spacecolon, sunucuları ele geçirdikten sonra fidye yazılımı yüklemekle kalmayıp, aynı zamanda saldırganların güvenlik ürünlerini devre dışı bırakmasına, hassas verileri çalmasına ve daha fazla erişim elde etmesine izin veren çeşitli üçüncü taraf araçlar da içeriyor.
CosmicBeetle, muhtemelen ZeroLogon güvenlik açığına sahip web sunucularını veya RDP kimlik bilgilerine sahip olanları hedefliyor. Ayrıca, Spacecolon, operatörlere arka kapı erişimi sağlamak için de kullanılabiliyor. CosmicBeetle, kötü amaçlı yazılımını gizlemek için pek çaba göstermiyor ve ele geçirilen sistemlerde birçok iz bırakıyor.
CosmicBeetle, savunmasız bir web sunucusunu ele geçirme işleminden sonra, ScHackTool adını verdiği Spacecolon’un ana bileşenini harekete geçiriyor. Bu saldırılar, aracın kullanıcı arayüzüne ve operatörlerinin etkin katılımına dayanmaktadır. Saldırıdan etkilenen sisteme ek araçlar indirme ve çalıştırma yeteneği sunarak, CosmicBeetle’e talep üzerine tasarlanmış bir şekilde sızılan makinede daha fazla uzaktan erişim sağlama imkanı verir. CosmicBeetle, hedefin değerli olduğunu düşünürse, ScInstaller’ı dağıtabilir ve daha fazla uzaktan erişim sağlayan ScService’i yüklemek için kullanabilir.
CosmicBeetle tarafından dağıtılan son yük, Scarab fidye yazılımının bir varyantıdır. Bu varyant, içeriğin saldırgan tarafından kontrol edilen bir adrese bağlantı içerdiğini düşünerek pano içeriğini izler ve kripto para cüzdanı adresini değiştirir. Bu kötü amaçlı yazılım, ClipBanker adı verilen bir türdür.
Güvenlik uzmanları, CosmicBeetle Grubu’nun faaliyetlerini takip etmeye ve saldırılarını önlemek için uygun önlemleri almayı önermektedir. Savunmasız sunucuların ve RDP kimlik bilgilerinin korunmasına ve güvenlik açıklarının düzeltilmesine özen gösterilmesi önemlidir.