Trong bài đăng trên blog này, các nhà nghiên cứu của ESET sẽ xem xét Spacecolon, một bộ công cụ nhỏ được sử dụng để triển khai các biến thể của phần mềm ransomware Scarab tới các nạn nhân trên toàn thế giới. Nó có thể tìm đường vào các tổ chức nạn nhân bằng cách các nhà điều hành xâm phạm các máy chủ web dễ bị tấn công hoặc thông qua thông tin xác thực RDP cưỡng bức.

Một số bản dựng Spacecolon chứa nhiều chuỗi tiếng Thổ Nhĩ Kỳ; do đó chúng tôi nghi ngờ một nhà phát triển nói tiếng Thổ Nhĩ Kỳ. Chúng tôi có thể theo dõi nguồn gốc của Spacecolon ít nhất là từ tháng 2020 năm 2023 và tiếp tục xem các chiến dịch mới tại thời điểm viết bài, với bản dựng mới nhất được biên soạn vào tháng XNUMX năm XNUMX. Bất chấp việc theo dõi này và phân tích chi tiết của chúng tôi về các công cụ cấu thành của Spacecolon, chúng tôi không thể hiện quy kết việc sử dụng nó cho bất kỳ nhóm tác nhân đe dọa nào đã biết. Do đó, chúng tôi sẽ gọi các nhà khai thác của Spacecolon là CosmicBeetle để thể hiện mối liên kết với “không gian” và “bọ hung”.

Spacecolon bao gồm ba thành phần Delphi – được gọi nội bộ là HackTool, Trình cài đặt và Dịch vụ, sẽ được gọi là ScHackTool, ScInstaller và ScService trong bài đăng trên blog này. ScHackTool là thành phần điều phối chính, cho phép CosmicBeetle triển khai hai thành phần còn lại. ScInstaller là một thành phần nhỏ với một mục đích duy nhất: cài đặt ScService. ScService hoạt động như một cửa sau, cho phép CosmicBeetle thực thi các lệnh tùy chỉnh, tải xuống và thực thi tải trọng cũng như truy xuất thông tin hệ thống từ các máy bị xâm nhập.

Bên cạnh ba thành phần này, các nhà khai thác của Spacecolon còn phụ thuộc rất nhiều vào rất nhiều công cụ của bên thứ ba, cả hợp pháp và độc hại, mà Spacecolon cung cấp theo yêu cầu.

Trong khi chuẩn bị xuất bản báo cáo này, chúng tôi đã quan sát thấy một dòng ransomware mới đang được phát triển, với các mẫu được tải lên VirusTotal từ Thổ Nhĩ Kỳ. Chúng tôi tin tưởng chắc chắn rằng nó được viết bởi cùng một nhà phát triển với Spacecolon; do đó chúng tôi sẽ gọi nó là ScRansom. Sự phân bổ của chúng tôi dựa trên các chuỗi tiếng Thổ Nhĩ Kỳ tương tự trong mã, cách sử dụng thư viện IPWorks và sự tương đồng về GUI tổng thể. ScRansom cố gắng mã hóa tất cả các ổ đĩa cứng, di động và từ xa bằng thuật toán AES-128 bằng khóa được tạo từ một chuỗi mã hóa cứng. Chúng tôi chưa thấy ScRansom được triển khai thực tế tại thời điểm viết bài và chúng tôi tin rằng nó vẫn đang trong giai đoạn phát triển. Biến thể mới nhất được tải lên VirusTotal được gói bên trong trình cài đặt MSI, cùng với một tiện ích nhỏ để xóa Bản sao bóng.

Các điểm chính của bài đăng blog này:

• Các nhà khai thác CosmicBeetle có thể xâm phạm các máy chủ web dễ bị tổn thương bởi lỗ hổng ZeroLogon hoặc những máy chủ có thông tin xác thực RDP mà chúng có thể dùng vũ lực.
• Spacecolon cung cấp, theo yêu cầu, rất nhiều công cụ của bên thứ ba, đội đỏ.
• CosmicBeetle không có mục tiêu rõ ràng; nạn nhân của nó ở khắp nơi trên thế giới.
• Spacecolon có thể hoạt động như một RAT và/hoặc triển khai phần mềm tống tiền; chúng tôi đã thấy nó mang đến Scarab.
• Các nhà khai thác hoặc nhà phát triển Spacecolon dường như đang chuẩn bị phân phối phần mềm ransomware mới mà chúng tôi đặt tên là ScRansom.

TỔNG QUAN

Cái tên Spacecolon được đặt bởi các nhà phân tích của Zaufana Trzecia Strona, tác giả của cái tên đầu tiên (và theo hiểu biết của chúng tôi là cái tên duy nhất khác) công bố (bằng tiếng Ba Lan) về bộ công cụ. Dựa trên ấn phẩm đó, ESET cung cấp cái nhìn sâu sắc hơn về mối đe dọa. Để tránh nhầm lẫn, chúng tôi sẽ gọi bộ công cụ này là Spacecolon và các toán tử của nó là CosmicBeetle.

Kịch bản tấn công như sau:

1.    CosmicBeetle xâm phạm một máy chủ web dễ bị tấn công hoặc đơn giản là ép buộc thông tin xác thực RDP của nó.

2.    CosmicBeetle triển khai ScHackTool.

3.    Bằng cách sử dụng ScHackTool, CosmicBeetle sử dụng bất kỳ công cụ bổ sung nào của bên thứ ba có sẵn theo yêu cầu để vô hiệu hóa các sản phẩm bảo mật, trích xuất thông tin nhạy cảm và có thêm quyền truy cập.

4.    Nếu mục tiêu được coi là có giá trị, CosmicBeetle có thể triển khai ScInstaller và sử dụng nó để cài đặt ScService.

5.    ScService cung cấp thêm quyền truy cập từ xa cho CosmicBeetle.

6.    Cuối cùng, CosmicBeetle có thể chọn triển khai phần mềm ransomware Scarab thông qua ScService hoặc thủ công.

Trong một số trường hợp, chúng tôi nhận thấy ScService đang được triển khai thông qua gói tin chứ không phải ScInstaller, với ScHackTool hoàn toàn không được sử dụng. Chúng tôi kết luận rằng việc sử dụng ScHackTool làm thành phần ban đầu không phải là cách tiếp cận duy nhất mà các nhà khai thác Spacecolon sử dụng.

Tải trọng cuối cùng mà CosmicBeetle triển khai là một biến thể của mã độc tống tiền bọ hung. Biến thể này trong nội bộ cũng triển khai ClipBanker, một loại phần mềm độc hại theo dõi nội dung của khay nhớ tạm và thay đổi nội dung mà nó cho là có khả năng là địa chỉ ví tiền điện tử thành địa chỉ do kẻ tấn công kiểm soát.

TRUY CẬP BAN ĐẦU

Phép đo từ xa của ESET cho thấy rằng một số mục tiêu bị xâm phạm thông qua cưỡng bức vũ phu RDP – điều này được hỗ trợ thêm bởi các công cụ bổ sung, được liệt kê trong Phụ lục A – Các công cụ của bên thứ ba được kẻ tấn công sử dụng, có sẵn cho người vận hành Spacecolon. Ngoài ra, chúng tôi đánh giá với độ tin cậy cao rằng CosmicBeetle lợi dụng lỗ hổng CVE-2020-1472 (ZeroLogon), dựa trên công cụ .NET tùy chỉnh được mô tả trong phần tiếp theo.

Với độ tin cậy thấp, chúng tôi đánh giá rằng CosmicBeetle cũng có thể đang lợi dụng lỗ hổng trong FortiOS để truy cập lần đầu. Chúng tôi tin như vậy dựa trên phần lớn nạn nhân có thiết bị chạy FortiOS trong môi trường của họ và các thành phần ScInstaller và ScService tham chiếu chuỗi “Forti” trong mã của họ. Theo CISA, ba lỗ hổng FortiOS nằm trong số những lỗ hổng được khai thác thường xuyên hàng đầu vào năm 2022. Thật không may, chúng tôi không có thêm thông tin chi tiết nào về khả năng khai thác lỗ hổng như vậy ngoài những tạo phẩm này.

Đóng cửa lại sau lưng bạn

Trong một số trường hợp, phép đo từ xa của ESET đã cho thấy các nhà khai thác Spacecolon đang thực thi tải trọng .NET tùy chỉnh mà chúng tôi sẽ gọi ở đây là ScPatcher. ScPatcher được thiết kế để không làm điều gì độc hại. Ngược lại: nó cài đặt các bản cập nhật Windows đã chọn. Danh sách các bản cập nhật được cài đặt được minh họa trong Bảng 1 và phần mã tương ứng của ScPatcher trong Hình 1.

Bảng 1. Danh sách các bản cập nhật Windows được cài đặt bởi ScPatcher

ScPatcher cũng chứa hai chức năng được thiết kế để thả và thực thi:

·      cập nhật.bat, một tập lệnh BAT nhỏ để thay đổi cài đặt Cập nhật tự động của Windows và

·      up.vbs, một bản sao gần như giống hệt của một ví dụ MSDN chính thức tập lệnh để tải xuống và cài đặt Bản cập nhật Windows với một thay đổi nhỏ là không chấp nhận thông tin nhập của người dùng mà cho phép các bản cập nhật tiến hành tự động và âm thầm.

Mặc dù hai hàm này không được tham chiếu ở bất kỳ đâu trong mã, phép đo từ xa của ESET hiển thị các toán tử Spacecolon thực thi cả hai tập lệnh trực tiếp thông qua Impacket. Các chức năng được minh họa trong Hình 2 và Hình 3.

NẠN NHÂN

Chúng tôi chưa quan sát thấy bất kỳ kiểu mẫu nào ở các nạn nhân Spacecolon ngoài việc họ dễ bị tổn thương trước các phương thức truy cập ban đầu do CosmicBeetle sử dụng. Hình 4 minh họa các sự cố Spacecolon được xác định bằng phép đo từ xa ESET.

Chúng tôi cũng không tìm thấy bất kỳ mô hình nào trong khu vực trọng tâm hoặc kích thước của mục tiêu. Để kể tên một số, chúng tôi đã quan sát Spacecolon tại một bệnh viện và khu du lịch ở Thái Lan, một công ty bảo hiểm ở Israel, một tổ chức chính quyền địa phương ở Ba Lan, một nhà cung cấp dịch vụ giải trí ở Brazil, một công ty môi trường ở Thổ Nhĩ Kỳ và một trường học ở Mexico.

PHÂN TÍCH KỸ THUẬT

Trước tiên, chúng tôi xem xét ngắn gọn về biến thể ransomware mà Spacecolon triển khai và sau đó tiến hành phân tích các thành phần của Spacecolon.

mã độc tống tiền bọ hung

Scarab là ransomware do Delphi viết. Nó chứa các mã trùng lặp đáng chú ý với Buran và VegaLocker các gia đình. Nó dựa trên một cấu hình nhúng có định dạng gần giống với cấu hình của Zeppelin phần mềm tống tiền. Cấu hình đó xác định, trong số những thứ khác, phần mở rộng tệp cho các tệp được mã hóa, tên tệp, danh sách phần mở rộng tệp của các tệp cần mã hóa và thông báo đòi tiền chuộc.

Phần lớn các bản dựng Scarab mà chúng tôi đã gặp phải việc thả và thực thi một ClipBanker được viết bằng Delphi được nhúng để giám sát nội dung bảng tạm và thay thế bất kỳ chuỗi nào giống như ví tiền điện tử bằng một chuỗi do kẻ tấn công kiểm soát, cụ thể là một trong những chuỗi sau:

·      1HtkNb73kvUTz4KcHzztasbZVonWTYRfVx

·      qprva3agrhx87rmmp5wtn805jp7lmncycu3gttmuxe

·      0x7116dd46e5a6c661c47a6c68acd5391a4c6ba525

·      XxDSKuWSBsWFxdJcge8xokrtzz8joCkUHF

·4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQnt2yEaJRD7Km8Pnph

·      t1RKhXcyj8Uiku95SpzZmMCfTiKo4iHHmnD

Chúng tôi có thể liên kết chắc chắn Spacecolon với ít nhất hai bản dựng Scarab bằng cách sử dụng .flycrypt và .restoreserver tiện ích mở rộng cho các tệp được mã hóa – CosmicBeetle đã cố gắng thực thi các bản dựng này trên các máy đã bị Spacecolon xâm phạm ngay trước đó. Cả hai bản dựng đều tuân theo cùng một kiểu đặt tên tệp – ransomware chạy dưới dạng %APPDATA%osk.exe và ClipBanker được nhúng dưới dạng %APPDATA%winupas.exe. Việc đặt tên này có tầm quan trọng đặc biệt đối với Spacecolon, vì ScHackTool mong đợi hai quy trình được đặt tên như vậy sẽ chạy. Giả sử mẫu đặt tên này gắn chặt với Spacecolon thì hơn 50% cấu hình Scarab được hiển thị bằng phép đo từ xa ESET có thể liên quan đến Spacecolon. Thông báo đòi tiền chuộc cho hai mẫu được liên kết chắc chắn được minh họa trong Hình 5 và Hình 6.

ScHackCông cụ

ScHackTool là thành phần Spacecolon chính được các nhà khai thác của nó sử dụng. Nó phụ thuộc rất nhiều vào GUI và sự tham gia tích cực của các nhà khai thác; nó cho phép họ tổ chức cuộc tấn công, tải xuống và thực thi các công cụ bổ sung cho máy bị xâm nhập theo yêu cầu khi họ thấy phù hợp.

Từ đây trở đi, chúng ta sẽ đề cập đến nhiều thành phần GUI giống như cách chúng được định nghĩa bởi ngôn ngữ lập trình Delphi – Nhãn, Hộp văn bản, NhómHộp, Vv

ScHackTool sử dụng một thủ thuật chống mô phỏng gọn gàng. Khi thực thi, một thông báo lỗi giả sẽ hiện lên (xem Hình 7). Nếu nhấp vào nút “OK”, ScHackTool sẽ kết thúc. Người ta cần nhấp đúp vào chữ “g” trong từ “reinstalling” (được đánh dấu màu đỏ) để thực sự hiển thị cửa sổ chính.

Trước khi cửa sổ chính được hiển thị, ScHackTool lấy một tệp văn bản, danh sách.txt, từ máy chủ C&C của nó. Tệp này xác định những công cụ bổ sung nào có sẵn, tên liên quan của chúng và URL để tải chúng xuống. Một ví dụ về một tập tin như vậy được hiển thị trong Hình 8. Tất cả các thành phần Spacecolon, bao gồm ScHackTool, đều sử dụng IPWorks thư viện cho mạng truyền thông.

Trước khi giải thích quá trình phân tích cú pháp tệp này, chúng ta hãy giới thiệu ngắn gọn về GUI của ScHackTool. Nó bao gồm ba tab chính (Tải về, CÔNG CỤ và Đổ MIMI) và bảng điều khiển phía dưới được chia sẻ giữa cả ba. Kể từ khi Tải về tab được điền bởi kết quả của quá trình phân tích cú pháp, trước tiên hãy giới thiệu nó cùng với logic phân tích cú pháp.

Tải về chuyển hướng

Tab này chứa các nút cung cấp cho người vận hành khả năng tải xuống và thực thi các công cụ bổ sung. Tất cả các công cụ này đều có sẵn dưới dạng kho lưu trữ ZIP được bảo vệ bằng mật khẩu (mật khẩu: ab1q2w3e!). Tất cả đều được tải xuống ./zip/ và chiết vào ./ /. ScHackTool không xóa các kho lưu trữ đã tải xuống.

Những công cụ bổ sung nào có sẵn được xác định bởi những điều đã nói ở trên danh sách.txt tài liệu. Việc phân tích tệp này khá đơn giản. Nó được đọc từng dòng một. Nếu một dòng trông giống như MÈO| (có thể là viết tắt của “Danh mục”), sau đó là một cái mới Hộp nhóm tên được tạo và tất cả các mục sau đây được liên kết với nó. Tương tự, nếu một dòng trông giống như PHỤ| (có thể là viết tắt của “Subcategory”), sau đó là một dòng ngang mới nhãn tên được thêm vào danh mục hiện tại.

Tất cả các dòng khác được coi là mục thực tế. Dòng được chia bởi # thành hai hoặc ba mục:

1.      tên công cụ,

2.      URL được sử dụng để truy xuất công cụ và

3.      một hậu tố tùy chọn.

Đối với mỗi mục nhập, một nút có tiêu đề là tên công cụ sẽ được tạo. Ngoài ra, nếu hậu tố tùy chọn là a thư mục, một nút bổ sung có tiêu đề AC được tạo ra; nút này chỉ cần mở Windows Explorer tại vị trí được trích xuất của công cụ.

Nếu danh sách.txt tập tin không có sẵn, phần mềm độc hại sẽ thoát. Ngoài ra, nếu người vận hành Spacecolon yêu cầu một công cụ được xác định trong danh sách.txt, nhưng không có sẵn trên URL được liên kết, quy trình ScHackTool sẽ bị kẹt và ngừng phản hồi.

Như bạn thấy trong Hình 9, một hoặc hai nút được tạo cho mỗi công cụ. TOOLS, RIÊNG TƯ, RAAGvà Khác (được đánh dấu màu đỏ) đại diện cho các danh mục và Đánh hơi và Khai thác (được đánh dấu màu xanh lam) là các danh mục phụ. Danh sách tất cả các công cụ bổ sung có sẵn cùng với mô tả của chúng được liệt kê trong Phụ lục A – Công cụ của bên thứ ba được kẻ tấn công sử dụng.

Tab công cụ

Mọi người có thể muốn nghĩ rằng đây là tab chính, nhưng thực tế không phải vậy. Điều đáng ngạc nhiên là hầu hết các nút đều không làm gì cả (liên quan đến chúng Trong một cái nhấp chuột các chức năng trống). Trong lịch sử, chúng tôi biết các nút này đã hoạt động nhưng theo thời gian, chức năng của chúng đã bị loại bỏ. Chúng tôi sẽ cung cấp thông tin tổng quan về các nút không còn hoạt động ở phần sau của bài đăng trên blog. Hình 10 minh họa GUI và Bàn 2 tóm tắt chức năng của các nút làm việc.

Bàn 2. Danh sách các nút chức năng trong CÔNG CỤ chuyển hướng

Trước đó chúng tôi đã tuyên bố rằng phần mềm ransomware Scarab được triển khai và ClipBanker liên quan của nó được đặt tên osk.exe và winupas.exe. Như là hiển nhiên từ Bàn 2, hai nút liên kết có thể được sử dụng để chấm dứt các quá trình đó.

Vùng được đánh dấu màu hồng sẽ được lấp đầy khi ScHackTool khởi chạy. Tuy nhiên, không có thông tin thực tế nào về máy được truy xuất; Toán tử dấu cách cần phải điền thủ công.

Tab kết xuất MIMI

Chức năng trong tab này từng là một phần của CÔNG CỤ tab, nhưng cuối cùng đã được chuyển sang một tab riêng. Một lần nữa, một số nút không hoạt động. Giao diện người dùng được minh họa trong Hình 11và Bàn 3 tóm tắt chức năng của các nút làm việc.

Bàn 3. Danh sách các nút chức năng trong Đổ MIMI chuyển hướng

Tên của tab này có thể gợi ý rằng nó có liên quan chặt chẽ với công cụ trích xuất thông tin xác thực và mật khẩu khét tiếng Mimikatz, nhưng thực tế không phải vậy. Trong khi tập tin được gửi trở lại Spacecolon C&C được đặt tên để gợi ý một lsass.exe dump, tệp phải được người vận hành tạo thủ công và có thể là bất kỳ tệp tùy ý nào. Tương tự, tên người dùng và mật khẩu đã tải xuống sẽ không được sử dụng dưới bất kỳ hình thức nào trừ khi được nhà điều hành sao chép.

Tuy nhiên, Mimikatz is một phần của bộ công cụ bổ sung do Spacecolon cung cấp (xem Phụ lục A – Công cụ của bên thứ ba được kẻ tấn công sử dụng).

Bảng điều khiển phía dưới

Bảng điều khiển phía dưới, được chia sẻ giữa cả ba tab, cho phép CosmicBeetle lên lịch khởi động lại hệ thống, xóa Spacecolon khỏi hệ thống và truy cập PortableApps, một trong những công cụ bổ sung. Các Tải về và Zip thanh tiến trình tương ứng với tiến trình tải xuống và trích xuất kho lưu trữ công cụ. Tổng quan về chức năng của các nút được cung cấp trong Bàn 4.

Bàn 4. Danh sách các nút ở bảng dưới cùng được chia sẻ giữa ba tab và chức năng của chúng

Mã hóa chuỗi

ScHackTool mã hóa chuỗi bằng thuật toán đơn giản - chúng tôi cung cấp quy trình giải mã được triển khai bằng Python trong Hình 13. Không phải tất cả các chuỗi đều được mã hóa, mặc dù với các bản dựng mới hơn, số lượng chuỗi được bảo vệ sẽ tăng lên.

def decrypt_string(s: str, key: str) -> str: dec = "" for b in bytearray.fromhex(s): dec += chr(b ^ (key >> 8)) key = (0xD201 * (b + key) + 0x7F6A) & 0xFFFF return dec

Hình 13. Quy trình giải mã chuỗi cho chuỗi SChackTool

 

Các nút ScHackTool – chuyến du hành ngược thời gian

ScHackTool chắc chắn là thành phần có nhiều thay đổi nhất. Bản dựng lâu đời nhất mà chúng tôi có thể tìm thấy là từ năm 2020 và sử dụng TicsDropbox để liên lạc với máy chủ C&C của nó. Khi đó, thay vì thông báo lỗi giả mạo, cơ chế bảo vệ mật khẩu (xem Hình 14) đã có sẵn (mật khẩu: đ1q2w3e).

Điều kỳ lạ là với mỗi phiên bản mới, một số nút ngừng hoạt động (mã của chúng đã bị xóa hoàn toàn). Bằng cách xem qua các bản dựng cũ hơn này, chúng ta có thể tìm hiểu chức năng của các nút không còn hoạt động được liệt kê trong Bàn 5.

Bàn 5. Danh sách các chức năng của nút dựa trên phân tích của các bản dựng cũ hơn

ScInstaller

ScInstaller là một công cụ Delphi rất nhỏ được thiết kế để thực hiện một nhiệm vụ duy nhất: cài đặt ScService. ScService được lưu trữ trong ScInstaller's .rsrc phần được mã hóa bằng thuật toán AES bằng khóa lấy từ mật khẩu TFormDropbox.btnUploadClick.

ScInstaller là một phần của các công cụ bổ sung mà kẻ tấn công có thể sử dụng hoặc không thể sử dụng, cụ thể là công cụ có tên ĐẶC VỤ (xem Phụ lục A – Công cụ của bên thứ ba được kẻ tấn công sử dụng). Mặc dù bản dựng mới nhất được quan sát có từ năm 2021, bản dựng đó vẫn là một phần của bộ công cụ tại thời điểm viết bài. Tuy nhiên, chúng tôi đã quan sát thấy ScService được cài đặt thủ công thông qua Impacket và trong khi chúng tôi quan sát thấy các bản dựng ScService mới, chúng tôi không thấy bản dựng ScInstaller mới nào. Điều này có thể cho thấy ScInstaller không còn được sử dụng tích cực nữa.

Các biến thể trước đó của ScInstaller chỉ cần cài đặt và chạy ScService khi thực thi. Các biến thể gần đây hơn đi kèm với GUI (xem Hình 15). ScService chỉ được cài đặt nếu đặt được nhấp vào.

Chúng cũng đi kèm với một số tính năng bổ sung. Các kiểm tra nút ở dưới cùng xác minh xem ScService đã được cài đặt chưa và truy xuất trạng thái dịch vụ. Các kiểm tra nút ở trên cùng bên trái được sử dụng để kiểm tra khả năng kết nối với bốn máy chủ C&C được mã hóa cứng (không có dữ liệu thực tế nào được trao đổi). ScInstaller cũng loại bỏ chứng chỉ TLS của chính nó trong tệp PFX có tên chứng chỉ.pfx or cdn.pfx và được bảo vệ bằng mật khẩu đ1q2w3e. Chứng chỉ này được sử dụng khi kết nối với (các) máy chủ C&C.

Hộp văn bản dán nhãn IP mạnh và Không được sử dụng để tạo một tệp INI nhỏ có hai mục – Ngày và Chú thích, được điền tương ứng bởi hai giá trị đó. Tệp INI này chỉ được CosmicBeetle sử dụng để lưu trữ các ghi chú tùy chỉnh về nạn nhân. Nó đóng một vai trò nhỏ trong giao tiếp C&C được mô tả trong phần tiếp theo.

ScService

Vào tháng 2023 năm XNUMX, có thể là kết quả của Zaufana Trzecia Strona phân tích được công bố vào đầu tháng 2023 năm 2023, ScService đã trải qua một thay đổi phát triển đáng chú ý. Trước tiên, hãy xem xét biến thể trước đó của nó và sau đó thảo luận về những thay đổi vào năm XNUMX.

ScService, như tên cho thấy, là một thành phần chạy như một dịch vụ Windows và hoạt động như một cửa hậu đơn giản. Các thông số dịch vụ được hiển thị trong Bàn 6. Mô tả dịch vụ được lấy từ Windows hợp pháp chính thức Dịch vụ giám sát cảm biến.

Bàn 6. Thông số ScService

Giống như ScInstaller, ScService cũng loại bỏ chứng chỉ TLS tùy chỉnh, giống với chứng chỉ được ScInstaller sử dụng. Nếu không có tệp INI (được tạo bởi ScInstaller), một tệp có giá trị trống sẽ được tạo.

Sau khi khởi chạy, ScService sẽ tạo ba bộ tính giờ, mỗi bộ tính giờ:

1.      gửi một GIỮ gửi tin nhắn tới máy chủ C&C cứ 10 giây một lần,

2.      xóa bộ đệm DNS cứ năm giờ một lần bằng cách thực thi ipconfig / flushdnsvà

3.      kết nối với máy chủ C&C cứ năm phút một lần.

Hình 16 trình bày cách sử dụng chứng chỉ tùy chỉnh khi thiết lập kết nối với máy chủ C&C. ScService sử dụng nhiều máy chủ C&C, tất cả đều được mã hóa cứng và mã hóa ở dạng nhị phân.

Ngoài việc thiết lập kết nối TLS, ScService còn liên lạc với máy chủ C&C qua TCP trên cổng 443. Giao thức rất đơn giản; không có mã hóa bổ sung được sử dụng. Khi ScService nhận được dữ liệu, nó sẽ quét dữ liệu để tìm các tên lệnh đã biết và thực thi bất kỳ lệnh nào như vậy, tùy ý gửi lại phản hồi. ScService nhận ra sáu lệnh được hiển thị trong Bàn 7. Tên lệnh và các tham số của nó được phân cách bởi #. Nói tóm lại, ScService có thể thực thi các lệnh và tệp thực thi tùy ý, mở và đóng đường hầm SSH, lấy thông tin máy và cập nhật tệp INI.

Bàn 7. Khả năng ra lệnh TCP/IP

Thiết kế lại tháng 2023 năm XNUMX

Như chúng tôi đã gợi ý, ScService đã trải qua một thay đổi đáng chú ý vào tháng 2023 năm XNUMX. Trước hết, các thông số dịch vụ thay đổi một chút, giữ nguyên mô hình tương tự (xem Bàn 8).

Bàn 8. Các tham số ScService được cập nhật

Cách thu thập thông tin máy bị xâm phạm đã thay đổi. ScService chạy máy chủ HTTP cục bộ trên cổng 8347 chấp nhận một yêu cầu duy nhất – /trạng thái. ScService sau đó đưa ra yêu cầu này tới máy chủ. Việc xử lý yêu cầu này rất đơn giản: nó truy xuất thông tin máy và trả về dưới dạng nội dung của phản hồi HTTP. Dữ liệu được định dạng theo cách có thể được lưu trữ trong tệp INI - đó chính xác là điều sẽ xảy ra: ScService lưu trữ nội dung vào tệp INI của nó. Thông tin thu thập được là:

·      OS = tên hệ điều hành

·      CN = tên máy tính

·      DO = miền người dùng

·      LIP = địa chỉ IP cục bộ

Nhiều (không phải tất cả) chuỗi hiện được mã hóa bằng cách sử dụng các Thuật toán AES-CBC với a khóa bắt nguồn từ các mật khẩu 6e4867bb3b5fb30a9f23c696fd1ebb5b.

Giao thức C&C đã thay đổi. Điều thú vị là, nguyên Giao thức truyền thông C&C vẫn được triển khai nhưng chỉ được sử dụng khi có hướng dẫn của KẾT NỐI lệnh (xem bên dưới) để liên lạc với mục tiêu. Cái mới chính Giao thức C&C sử dụng HTTP thay vì TCP. Các tiêu đề HTTP sau được sử dụng:

·      User-Agent = Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 41.0) Gecko / 20100101 Firefox / 41.0

·      ĐƠN VỊ = hàm băm MD5 được hexlified của địa chỉ MAC và C: số sê-ri ổ đĩa

Ngoài ra, Phiên cookie được thêm vào với giá trị của nó là thông tin máy được thu thập trước đó được lưu trữ dưới dạng OS, CN, DOvà LIP, được tham gia bởi # và được mã hóa bởi base64.

Các lệnh có định dạng JSON (xem Hình 17 bên dưới).

{ “Status”: “TASK”, “CMD”: “<COMMAND_NAME>”, “Params”: “<COMMAND_PARAMS_STR>”, “TaskID”: “<TASK_ID>”
}

Hình 17. Ví dụ về lệnh có định dạng JSON

Sản phẩm Trạng thái trường luôn bằng BÀI TẬP, trong khi CMD và Thông số các trường xác định tên lệnh và tham số. cuối cùng ID nhiệm vụ giá trị được sử dụng để gửi kết quả tác vụ, nếu có, đến máy chủ C&C. Các lệnh được hỗ trợ được liệt kê trong Bàn 9.

Bàn 9. Khả năng ra lệnh HTTP(S) của ScService

Kết luận

Trong bài đăng trên blog này, chúng tôi đã phân tích Spacecolon, một bộ công cụ Delphi nhỏ được sử dụng để đẩy phần mềm ransomware Scarab đến các máy chủ dễ bị tấn công và các nhà điều hành nó mà chúng tôi gọi là CosmicBeetle. Ngoài ra, Spacecolon có thể cung cấp quyền truy cập cửa sau cho các nhà khai thác của nó.

CosmicBeetle không nỗ lực nhiều để che giấu phần mềm độc hại và để lại nhiều hiện vật trên các hệ thống bị xâm nhập. Rất ít hoặc không có kỹ thuật chống phân tích hoặc chống mô phỏng nào được triển khai. ScHackTool chủ yếu dựa vào GUI của nó, nhưng đồng thời, cũng chứa một số nút không hoạt động. Người vận hành CosmicBeetle sử dụng ScHackTool chủ yếu để tải xuống các công cụ bổ sung được lựa chọn cho các máy bị xâm nhập và chạy chúng khi thấy phù hợp.

Spacecolon đã được sử dụng tích cực ít nhất từ ​​năm 2020 và đang được phát triển liên tục. Chúng tôi tin rằng các tác giả đã nỗ lực đáng kể để tránh bị phát hiện vào năm 2023, sau vụ Zaufana Trzecia Strona ấn phẩm ra đời.

CosmicBeetle không chọn mục tiêu của nó; đúng hơn, nó tìm thấy các máy chủ có bản cập nhật bảo mật quan trọng bị thiếu và khai thác điều đó để làm lợi thế cho nó.

Tại thời điểm xuất bản, chúng tôi đã quan sát thấy một họ ransomware mới mà chúng tôi đặt tên là ScRansom, rất có thể được viết bởi nhà phát triển các thành phần Spacecolon. Chúng tôi chưa thấy ScRansom được triển khai ngoài tự nhiên tính đến thời điểm viết bài này.

Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .

IoC

Các tập tin

mạng

Đường dẫn nơi Spacecolon thường được cài đặt

·      %Hồ sơ người dùng%Nhạc

·      % ALLUSERSPROFILE%

Tên các tài khoản tùy chỉnh do CosmicBeetle thiết lập

·      hỗ trợ

·      IIS

·      IWAM_USR

·      BK$

Mutexes được tạo bởi Scarab ransomware

·      {46E4D4E6-8B81-84CA-93DA-BB29377B2AC0}

·      {7F57FB1B-3D23-F225-D2E8-FD6FCF7731DC}

MITER ATT & CK kỹ thuật

Phụ lục A – Công cụ của bên thứ ba được kẻ tấn công sử dụng

Các công cụ trong bảng sau được sắp xếp theo tên. Cột “Tên công cụ” tương ứng với tên được tác nhân đe dọa gán cho kho lưu trữ công cụ và cột “Đường dẫn lưu trữ” liệt kê đường dẫn tương đối của kho lưu trữ công cụ trên máy chủ C&C. Các công cụ ở cuối có “Tên công cụ” được đặt thành “Không áp dụng” đề cập đến các công cụ có trên máy chủ C&C nhưng không được CosmicBeetle sử dụng trong bất kỳ cấu hình nào mà chúng tôi biết. Cuối cùng, một số công cụ dường như không còn xuất hiện trên máy chủ C&C nữa, mặc dù nút yêu cầu chúng vẫn tồn tại trong ScHackTool - điều này được phản ánh qua việc cột “Nhận xét” được đặt thành “Không áp dụng”.

Phụ lục B – Danh sách các quy trình và dịch vụ đã chấm dứt

AcronisAgent
AcrSch2Svc
Apache2
avpsus
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDiveciMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bes10*
black*
BMR Boot Service
CAARCUpdateSvc
CASAD2DWebSvc
ccEvtMgr
ccSetMgr
DefWatch
fbgu*
fdlauncher*
firebird*
firebirdguardiandefaultinstance
IBM Domino Diagnostics (CProgramFilesIBMDomino)
IBM Domino Server (CProgramFilesIBMDominodata)
IBM*
ibmiasrw
IISADMIN
Intuit.QuickBooks.FCS
McAfeeDLPAgentService
mfewc
mr2kserv
MsDtsServer110
MsDtsSrvr*
MSExchangeADTopology
MSExchangeFBA
MSExchangeIS
MSExchangeSA
msmdsrv*
MSSQL$ISARS
MSSQL$MSFW
MSSQLFDLauncher
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL
mysql*
mysqld.exe
NetBackup BMR MTFTP Service
orac*
PDVFSService
postg*
QBCFMonitorService
QBFCService
QBIDPService
QBPOSDBServiceV12
QBVSS
QuickBooksDB1
QuickBooksDB10
QuickBooksDB11
QuickBooksDB12
QuickBooksDB13
QuickBooksDB14
QuickBooksDB15
QuickBooksDB16
QuickBooksDB17
QuickBooksDB18
QuickBooksDB19
QuickBooksDB2
QuickBooksDB20
QuickBooksDB21
QuickBooksDB22
QuickBooksDB23
QuickBooksDB24
QuickBooksDB25
QuickBooksDB3
QuickBooksDB4
QuickBooksDB5
QuickBooksDB6
QuickBooksDB7
QuickBooksDB8
QuickBooksDB9
ReportingServicesService*
ReportServer
ReportServer$ISARS
RTVscan
sage*
SavRoam
ShadowProtectSvc
Simply Accounting Database Connection Manager
sophos
SPAdminV4
SPSearch4
SPTimerV4
SPTraceV4
SPUserCodeV4
SPWriterV4
sql
SQL Backup Master
SQL Server (MSSQLServer)
SQL Server Agent (MSSQLServer)
SQL Server Analysis Services (MSSQLServer)
SQL Server Browser
SQL Server FullText Search (MSSQLServer)
SQL Server Integration Services
SQL Server Reporting Services (MSSQLServer)
sql*
SQLAgent$ISARS
SQLAgent$MSFW
SQLAGENT90.EXE
SQLBrowser
sqlbrowser.exe
sqlservr.exe
SQLWriter
sqlwriter.exe
stc_raw_agent
store.exe
vee*
veeam
VeeamDeploymentService
VeeamNFSSvc
VeeamTransportSvc
VSNAPVSS
WinDefend
YooBackup
YooIT
Zhudongfangyu

Phụ lục C – Các tiến trình bị hủy bởi nút Kill All (Mặc định)

Tên của các tiến trình đã từng bị chấm dứt bởi Tiêu diệt tất cả (Mặc định) nút:

app.exe
ApplicationFrameHost.exe
blnsvr.exe
cmd.exe
conhost.exe
csrss.exe
dllhost.exe
dwm.exe
explorer.exe
LogonUI.exe
lsass.exe
msdtc.exe
openvpn-gui.exe
Project1.exe
rdpclip.exe
RuntimeBroker.exe
SearchUI.exe
services.exe
ShellExperienceHost.exe
sihost.exe
smss.exe
spoolsv.exe
svchost.exe
taskhost.exe
taskhostex.exe
taskhostw.exe
tasklist.exe
Taskmgr.exe
vmcompute.exe
vmms.exe
w3wp.exe
wininit.exe
winlogon.exe
wlms.exe
WmiPrvSE.exe

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/