Scarab savunmasız sunucuları kolonileştiriyor

Scarab fidye yazılımını savunmasız sunuculara dağıtmak için kullanılan bir araç seti olan Spacecolon ve Türkiye kökenli olduklarını düşündüğümüz operatörleri CosmicBeetle’ın analizi.

Bu blog yazısında ESET araştırmacıları, Scarab fidye yazılımının varyantlarını dünyanın dört bir yanındaki kurbanlara dağıtmak için kullanılan küçük bir araç seti olan Spacecolon’a göz atıyor. Muhtemelen operatörleri tarafından savunmasız web sunucularını tehlikeye atarak veya RDP kimlik bilgilerini kaba kuvvetle zorlayarak kurban kuruluşlara girmenin yolunu buluyor.

Birkaç Spacecolon derlemesi çok sayıda Türkçe terim içeriyor; bu nedenle Türkçe konuşan bir geliştiriciden şüpheleniyoruz. Spacecolon’un kökenini en azından Mayıs 2020’ye kadar takip edebildik ve en son Mayıs 2023’te derlenen yapı ile bu yazının yazıldığı sırada yeni kampanyalar görmeye devam ediyoruz. Bu takibe ve Spacecolon’u oluşturan araçlara ilişkin ayrıntılı analizimize rağmen, şu anda bilinen herhangi bir tehdit aktörü grubuyla ilişkilendiremiyoruz. Bu nedenle, Spacecolon’un operatörlerini “uzay” ve “scarab” bağlantısını temsil etmek için CosmicBeetle olarak adlandıracağız.

Spacecolon, dahili olarak HackTool, Installer ve Service olarak bilinen ve bu blog yazısında ScHackTool, ScInstaller ve ScService olarak anılacak olan üç Delphi bileşeninden oluşur. ScHackTool, CosmicBeetle’ın diğer ikisini dağıtmasını sağlayan ana orkestratör bileşenidir. ScInstaller tek bir amacı olan küçük bir bileşendir: ScService’i kurmak. ScService bir arka kapı görevi görerek CosmicBeetle’ın özel komutları yürütmesine, yükleri indirip çalıştırmasına ve ele geçirilmiş makinelerden sistem bilgilerini almasına olanak tanır.

Bu üç bileşenin yanı sıra, Spacecolon’un operatörleri, Spacecolon’un talep üzerine kullanıma sunduğu hem yasal hem de kötü niyetli çok çeşitli üçüncü taraf araçlarına büyük ölçüde güvenmektedir.

Bu raporu yayına hazırlarken, Türkiye’den VirusTotal’a yüklenen örneklerle birlikte yeni bir fidye yazılımı ailesinin geliştirildiğini gözlemledik. Spacecolon ile aynı geliştirici tarafından yazıldığına inanıyoruz; bu nedenle bunu ScRansom olarak adlandıracağız. Atfımız koddaki benzer Türkçe terimlere, IPWorks kütüphanesinin kullanımına ve genel GUI benzerliğine dayanmaktadır. ScRansom, AES-128 algoritmasını kullanarak tüm sabit, çıkarılabilir ve uzak sürücüleri kodlanmış bir dizeden oluşturulan bir anahtarla şifrelemeye çalışır. Bu yazının yazıldığı sırada ScRansom’un yaygında kullanıldığını gözlemlemedik ve hala geliştirme aşamasında olduğuna inanıyoruz. VirusTotal’a yüklenen en son varyant, Gölge Kopyaları silmek için küçük bir yardımcı programla birlikte bir MSI yükleyicisinin içinde paketlenmişti.

Bu blog yazısının önemli noktaları:

• CosmicBeetle muhtemelen ZeroLogon açığına karşı savunmasız olan web sunucularını ya da RDP kimlik bilgilerini kaba kuvvetle ele geçirebildikleri sunucuları hedeflemektedir.
• Spacecolon, talep üzerine, çok çeşitli üçüncü taraf, kırmızı ekip araçları sağlar.
• CosmicBeetle’ın net bir hedefi yoktur; kurbanları dünyanın her yerindedir.
• Spacecolon bir RAT olarak hizmet verebilir ve/veya fidye yazılımı dağıtabilir; Scarab dağıttığını gördük.
• Spacecolon operatörleri veya geliştiricileri, ScRansom adını verdiğimiz yeni fidye yazılımının dağıtımını hazırlıyor gibi görünüyor.

SCARAB GENEL BAKIŞ

Spacecolon adı, araç seti hakkında ilk (ve bildiğimiz kadarıyla tek) yayını (Lehçe) yazan Zaufana Trzecia Strona analistleri tarafından verildi. Bu yayının üzerine ESET, tehdit hakkında daha derin bilgiler sunuyor. Karışıklığı önlemek için araç setinden Spacecolon ve operatörlerinden de CosmicBeetle olarak bahsedeceğiz.

Saldırı senaryosu aşağıdaki gibidir:

1. CosmicBeetle savunmasız bir web sunucusunu ele geçirir veya RDP kimlik bilgilerini kaba kuvvetle zorlar.
2. CosmicBeetle ScHackTool’u dağıtır.
3. CosmicBeetle, ScHackTool’u kullanarak güvenlik ürünlerini devre dışı bırakmak, hassas bilgileri ayıklamak ve daha fazla erişim elde etmek için talep üzerine mevcut olan ek üçüncü taraf araçlarından herhangi birini kullanır.
4. Hedefin değerli olduğu düşünülürse, CosmicBeetle ScInstaller’ı dağıtabilir ve ScService’i yüklemek için kullanabilir.
5. ScService, CosmicBeetle için daha fazla uzaktan erişim sağlar.
6. Son olarak, CosmicBeetle Scarab fidye yazılımını ScService aracılığıyla veya manuel olarak dağıtmayı seçebilir.

Bazı durumlarda ScService’in ScInstaller yerine Impacket aracılığıyla konuşlandırıldığını ve ScHackTool’un hiç kullanılmadığını fark ettik. ScHackTool’u başlangıç bileşeni olarak kullanmanın Spacecolon operatörlerinin kullandığı tek yaklaşım olmadığı sonucuna vardık.

CosmicBeetle’ın dağıttığı son yük Scarab fidye yazılımının bir varyantıdır. Bu varyant dahili olarak, pano içeriğini izleyen ve kripto para cüzdanı adresi olabileceğini düşündüğü içeriği saldırgan tarafından kontrol edilen bir adresle değiştiren bir kötü amaçlı yazılım türü olan ClipBanker’ı da dağıtmaktadır.

İLK ERIŞIM

ESET telemetrisi, bazı hedeflerin RDP brute forcing yoluyla ele geçirildiğini göstermektedir – bu durum, aşağıda listelenen ek araçlar tarafından da desteklenmektedir EK A – Saldırgan tarafından kullanılan üçüncü taraf araçlar Spacecolon operatörleri tarafından kullanılabilir. Bunun yanı sıra, CosmicBeetle’ın bir sonraki bölümde açıklanan özel bir .NET aracına dayanarak CVE-2020-1472 (ZeroLogon) güvenlik açığını kötüye kullandığına yüksek olasılıkla inanıyoruz. 

Düşük olasılıkla, CosmicBeetle’ın ilk erişim için FortiOS’taki bir güvenlik açığını da kötüye kullanıyor olabileceğini değerlendiriyoruz. Kurbanların büyük çoğunluğunun ortamlarında FortiOS çalıştıran cihazlara sahip olması ve ScInstaller ve ScService bileşenlerinin kodlarında “Forti” dizesine referans vermesine dayanarak böyle düşünüyoruz. CISA‘ya göre, üç FortiOS güvenlik açığı 2022’de rutin olarak en çok istismar edilen güvenlik açıkları arasındaydı. Ne yazık ki, bunların dışında bu tür olası güvenlik açığı istismarı hakkında daha fazla ayrıntıya sahip değiliz.

Kapıyı arkandan kapatıyorum

ESET telemetrisi, Spacecolon operatörlerinin burada ScPatcher olarak adlandıracağımız özel bir .NET yükünü çalıştırdığını birkaç kez göstermiştir. ScPatcher kötü niyetli bir şey yapmamak üzere tasarlanmıştır. Aksine, seçilen Windows Güncellemelerini yükler. Yüklenen güncellemelerin listesi Tablo 1’de gösterilmiştir ve ScPatcher’ın ilgili kod parçası Şekil 1.

ScPatcher ayrıca yerleştirmek ve yürütmek için tasarlanmış iki işlev içerir:

• update.bat, Windows Otomatik Güncelleştirme ayarlarını değiştirmek için küçük bir BAT betiği ve
• up.vbs, Windows Güncellemelerini indirmek ve yüklemek için resmi bir MSDN örnek komut dosyasının neredeyse aynı kopyasıdır, ancak kullanıcı girdisini kabul etmeyen küçük bir değişiklikle, güncellemelerin otomatik olarak ve sessizce ilerlemesine izin verir.

Bu iki işleve kodun hiçbir yerinde atıfta bulunulmasa da ESET telemetrisi, Spacecolon operatörlerinin her iki komut dosyasını da doğrudan Impacket aracılığıyla yürüttüğünü gösteriyor. İşlevler Şekil 2 ve Şekil 3’de gösterilmiştir.

SCARAB VICTIMOLOJI

Spacecolon kurbanlarında, CosmicBeetle tarafından kullanılan ilk erişim yöntemlerine karşı savunmasız olmalarının dışında herhangi bir benzerlik gözlemlemedik. Şekil 4 ESET telemetri tarafından tanımlanan Spacecolon olaylarını göstermektedir.

Hedeflerin odaklandığı alanda veya boyutunda da herhangi bir benzerlik bulamadık. Birkaç örnek vermek gerekirse, Spacecolon’u Tayland’da bir hastanede ve turistik bir tesiste, İsrail’de bir sigorta şirketinde, Polonya’da yerel bir devlet kurumunda, Brezilya’da bir eğlence sağlayıcısında, Türkiye’de bir çevre şirketinde ve Meksika’da bir okulda gözlemledik.

SCARAB TEKNİK ANALİZ

İlk olarak Spacecolon’un dağıttığı fidye yazılımı varyantına kısaca bir göz atacağız ve ardından Spacecolon bileşenlerinin analizine geçeceğiz.

Scarab fidye yazılımı

Scarab Delphi ile yazılmış bir fidye yazılımıdır. Buran ve VegaLocker aileleri ile önemli kod örtüşmeleri içerir. Formatı Zeppelin fidye yazılımınınkiyle neredeyse aynı olan gömülü bir yapılandırmaya dayanır. Bu yapılandırma, diğer şeylerin yanı sıra, şifrelenmiş dosyalar için dosya uzantısını, dosya adlarını, şifrelenecek dosyaların dosya uzantılarının listesini ve fidye mesajını belirler.

Karşılaştığımız Scarab yapılarının büyük çoğunluğu, pano içeriğini izleyen ve kripto para cüzdanına benzeyen herhangi bir dizeyi saldırganın kontrolündeki bir dizeyle, özellikle de aşağıdakilerden biriyle değiştiren gömülü bir Delphi yazılı ClipBanker’ı bırakır ve çalıştırır:

• 1HtkNb73kvUTz4KcHzztasbZVonWTYRfVx
• qprva3agrhx87rmmp5wtn805jp7lmncycu3gttmuxe
• 0x7116dd46e5a6c661c47a6c68acd5391a4c6ba525
• XxDSKuWSBsWFxdJcge8xokrtzz8joCkUHF
• 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQnt2yEaJRD7Km8Pnph
• t1RKhXcyj8Uiku95SpzZmMCfTiKo4iHHmnD

Spacecolon’u şifrelenmiş dosyalar için .flycrypt ve .restoreserver uzantılarını kullanan en az iki Scarab yapısıyla kesin olarak ilişkilendirebildik – CosmicBeetle bu yapıları kısa bir süre önce Spacecolon tarafından ele geçirilmiş makinelerde çalıştırmayı denedi. Her iki yapı da aynı dosya adlandırma modellerini takip ediyor – fidye yazılımı %APPDATA%\osk.exe ve gömülü ClipBanker %APPDATA%\winupas.exe olarak çalışıyor. ScHackTool bu şekilde adlandırılmış iki sürecin çalışmasını beklediğinden, bu adlandırma Spacecolon için özel bir öneme sahiptir. Bu adlandırma modelinin Spacecolon ile yakından bağlantılı olduğunu varsayarsak, ESET telemetri tarafından gösterilen Scarab yapılandırmalarının %50’den fazlası Spacecolon ile ilişkili olabilir. Kesin olarak bağlantılı iki örnek için fidye mesajları aşağıda gösterilmiştir Şekil 5 ve Şekil 6.

ScHackTool

ScHackTool, Spacecolon operatörleri tarafından kullanılan ana Spacecolon bileşenidir. Büyük ölçüde GUI’sine ve operatörlerinin aktif katılımına dayanır; saldırıyı düzenlemelerine, uygun gördükleri şekilde talep üzerine hedeflenen makineye ek araçlar indirmelerine ve çalıştırmalarına olanak tanır.

Bundan sonra, birden fazla GUI bileşenine Delphi programlama dilinde tanımlandıkları şekilde atıfta bulunacağız – Labels, TextBoxes, GroupBoxes, vb.

ScHackTool iyi bir anti-emülasyon hilesi kullanır. Çalıştırıldığında, sahte bir hata mesajı açılır (bkz. Şekil 7). “Tamam” düğmesine tıklanırsa, ScHackTool sonlandırılır. Ana pencereyi gerçekten görüntülemek için “reinstalling” (yeniden yükleme) kelimesindeki “g” harfine çift tıklamak gerekir (kırmızı ile vurgulanmıştır).

Ana pencere görüntülenmeden önce, ScHackTool C&C sunucusundan list.txt adlı bir metin dosyası alır. Bu dosya, hangi ek araçların mevcut olduğunu, ilişkili adlarını ve bunları indirebileceğiniz URL’leri tanımlar. Böyle bir dosyanın bir örneği şurada gösterilmiştir Şekil 8. ScHackTool dahil olmak üzere tüm Spacecolon bileşenleri ağ iletişimi için IPWorks kütüphanesini kullanır.

Bu dosyayı ayrıştırma sürecini açıklamadan önce, ScHackTool’un GUI’sini kısaca tanıtalım. Üç ana sekmeden (İndir, Araçlar ve MIMI Dökümü) ve bunların üçü arasında paylaşılan bir alt panelden oluşur. Download sekmesi ayrıştırma işleminin sonucu tarafından doldurulduğundan, ayrıştırma mantığının yanı sıra önce onu tanıtalım.

Scarab İndirme sekmesi

Bu sekme, operatörlere ek araçları indirme ve çalıştırma olanağı veren düğmelerle doldurulmuştur. Tüm bu araçlar parola korumalı ZIP arşivleri olarak mevcuttur (parola: ab1q2w3e!). Hepsi ./zip/<ARCHIVE_NAME> dosyasına indirilir ve ./<ARCHIVE_NAME_WITHOUT_ZIP>/ dosyasına çıkarılır. İndirilen arşivler ScHackTool tarafından kaldırılmaz.

Hangi ek araçların mevcut olduğu yukarıda bahsedilen list.txt dosyası tarafından tanımlanır. Bu dosyanın ayrıştırılması oldukça basittir. Satır satır okunur. Eğer bir satır CAT|<NAME> (muhtemelen “Kategori “nin kısaltması) gibi görünüyorsa, <NAME> adında yeni bir GroupBox oluşturulur ve takip eden tüm girdiler bununla ilişkilendirilir. Benzer şekilde, bir satır SUB|<NAME> (muhtemelen “Alt Kategori “nin kısaltması) gibi görünüyorsa, mevcut kategoriye <NAME> adında yeni bir yatay Etiket eklenir.

Diğer tüm satırlar gerçek girişler olarak kabul edilir. Satır # ile iki veya üç öğeye bölünür:

1. araç adı,
2. aracı almak için kullanılan URL,
3. isteğe bağlı bir son ek.

Her giriş için, araç adı olarak adlandırılan bir buton oluşturulur. Ek olarak, isteğe bağlı son ek folder ise, AC başlıklı ek bir butonoluşturulur; bu buton basitçe aracın çıkarıldığı konumda Windows Gezgini’ni açar.

Eğer list.txt dosyası mevcut değilse, kötü amaçlı yazılım sonlanır. Ayrıca, Spacecolon operatörleri list.txt dosyasında tanımlanan ancak ilişkili URL’de bulunmayan bir araç talep ederse, ScHackTool işlemi takılır ve yanıt vermeyi durdurur.

Şekil 9’da gördüğünüz gibi her araç için bir veya iki buton oluşturulur. TOOLS, PRIV, RAAG ve Others (kırmızı ile vurgulanmıştır) kategorileri, Sniffer ve Exploit (mavi ile vurgulanmıştır) ise alt kategorileri temsil etmektedir. Açıklamalarıyla birlikte mevcut tüm ek araçların bir listesi şurada listelenmiştir Ek A – Saldırgan tarafından kullanılan üçüncü taraf araçlar.

Araçlar sekmesi

Bunun ana sekme olduğunu düşünebilirsiniz, ancak aslında öyle değildir. Şaşırtıcı bir şekilde, butonların çoğu hiçbir şey yapmaz (ilişkili OnClick işlevleri boştur). Geçmişte bu butonların çalıştığını biliyoruz, ancak zaman içinde işlevleri kaldırılmıştır. Blog yazısının ilerleyen bölümlerinde artık çalışmayan butonlara genel bir bakış sunacağız. Şekil 10 GUI’yi gösterir ve Tablo 2 çalışan butonlarınişlevselliğini özetler.

Daha önce, dağıtılan Scarab fidye yazılımı ve ilişkili ClipBanker’ın osk.exe ve winupas.exe olarak adlandırıldığını belirtmiştik. Açıkça görüldüğü gibi Tablo 2 ilgili iki buton bu işlemleri sonlandırmak için kullanılabilir.

Pembe ile vurgulanan alan ScHackTool başlatıldığında doldurulur. Ancak, gerçek makine bilgisi alınmaz; Spacecolon operatörlerinin bunu manuel olarak doldurması gerekir.

MIMI Dump sekmesi

Bu sekmedeki işlevsellik eskiden Araçlar sekmesinin bir parçasıydı, ancak sonunda ayrı bir sekmeye taşındı. Bir kez daha, bazı butonlar çalışmıyor. Kullanıcı arayüzü şu şekilde gösterilmiştir Şekil 11 ve Tablo 3 butonların işlevselliğini özetler.

Bu sekmenin adı, kötü şöhretli şifre ve kimlik bilgisi ayıklama aracı Mimikatz ile yakından bağlantılı olduğunu düşündürebilir, ancak aslında öyle değildir. Spacecolon C&C’ye geri gönderilen dosya lsass.exe dökümünü çağrıştıracak şekilde adlandırılmış olsa da, dosya operatörler tarafından manuel olarak oluşturulmalıdır ve rastgele herhangi bir dosya olabilir. Benzer şekilde, indirilen kullanıcı adları ve şifreler operatörler tarafından kopyalanmadığı sürece hiçbir şekilde kullanılmaz.

Ancak Mimikatz, Spacecolon tarafından sağlanan ek araçlar setinin bir parçasıdır (bkz. Ek A – Saldırgan tarafından kullanılan üçüncü taraf araçlar).

Scarab Alt panel

Her üç sekme arasında paylaşılan alt panel, CosmicBeetle’ın sistemi yeniden başlatmayı planlamasına, Spacecolon’u sistemden kaldırmasına ve ek araçlardan biri olan PortableApps‘e erişmesine olanak tanır. Download ve Zip ilerleme çubukları sırasıyla indirme ve araç arşivi çıkarma ilerlemesine karşılık gelir. Butonların işlevselliğine genel bir bakış için Tablo 4.

Dize şifreleme

ScHackTool dizeleri basit bir algoritma ile şifreler – Python’da uygulanan şifre çözme rutinini Şekil 13. Dizelerin tümü şifrelenmez, ancak daha yeni yapılarla birlikte korunan dizelerin sayısı artar.

ScHackTool butonları – zamanda geriye yolculuk

ScHackTool kesinlikle en çok değişikliğe uğrayan bileşendir. Bulabildiğimiz en eski yapı 2020 yılına ait ve C&C sunucusuyla iletişim için TicsDropbox kullanıyor. O zamanlar, sahte hata mesajı yerine bir parola koruma mekanizması (bkz. Şekil 14) bulunuyordu (parola: dd1q2w3e).

Garip bir şekilde, her yeni sürümle birlikte bazı butonlar çalışmayı durdurdu (kodları tamamen kaldırıldı). Bu eski yapılara göz atarak, artık işlevsel olmayan butonalrın işlevlerini öğrenebiliriz. Tablo 5.

ScInstaller

ScInstaller tek bir görevi yerine getirmek için tasarlanmış çok küçük bir Delphi aracıdır: ScService’i yüklemek. ScService, ScInstaller’ın .rsrc bölümünde saklanır ve TFormDropbox.btnUploadClick şifresinden türetilen bir anahtar kullanılarak AES algoritması ile şifrelenir.

ScInstaller, saldırganın kullanabileceği veya kullanamayacağı ek araçların bir parçasıdır, özellikle AGENT adlı araç (bkz. EK A – Saldırgan tarafından kullanılan üçüncü taraf araçlar). Gözlemlenen en yeni derlemenin 2021’den gelmesine rağmen, bu derleme yazım sırasında hala araç setinin bir parçasıdır. Bununla birlikte, ScService’in Impacket aracılığıyla manuel olarak yüklendiğini gözlemledik ve ScService’in yeni yapılarını gözlemlerken, ScInstaller’ın yeni yapılarını görmedik. Bu durum ScInstaller’ın artık aktif olarak kullanılmadığını gösteriyor olabilir.

ScInstaller’ın önceki varyantları basitçe ScService’i kurar ve çalıştırırdı. Daha yeni varyantlar bir GUI ile birlikte gelir (bkz. Şekil 15). ScService yalnızca Yükle butonuna tıklandığında yüklenir.

Ayrıca birkaç ek özellikle birlikte gelirler. Alttaki Kontrol butonu ScService’in kurulu olup olmadığını doğrular ve hizmet durumunu alır. Sol üstteki Kontrol butonu, dört sabit kodlanmış C&C sunucusuna bağlantıyı kontrol etmek için kullanılır (gerçek veri alışverişi yapılmaz). ScInstaller ayrıca kendi TLS sertifikasını cert.pfx veya cdn.pfx adlı ve dd1q2w3e parolasıyla korunan bir PFX dosyasına bırakır. Bu sertifika C&C sunucu(ları)na bağlanırken kullanılır.

Forti IP ve Not etiketli metin kutuları, sırasıyla bu iki değer tarafından doldurulan Veri ve Not olmak üzere iki girişe sahip küçük bir INI dosyası oluşturmak için kullanılır. Bu INI dosyası sadece CosmicBeetle tarafından kurban hakkında özel notları saklamak için kullanılır. Bir sonraki bölümde açıklanan C&C iletişiminde küçük bir rol oynar.

ScService

Mart 2023’te, muhtemelen Şubat 2023’ün başlarında yayınlanan Zaufana Trzecia Strona analizinin bir sonucu olarak, ScService kayda değer bir gelişim değişikliği geçirdi. Önce önceki versiyonuna bakalım ve ardından 2023 değişikliklerini tartışalım.

ScService, adından da anlaşılacağı gibi, Windows hizmeti olarak çalışan bir bileşendir ve basit bir arka kapı görevi görür. Hizmet parametreleri şu şekilde gösterilir Tablo 6. Hizmet açıklaması resmi meşru Windows Sensör İzleme Hizmeti‘nden alınmıştır.

ScInstaller’da olduğu gibi, ScService de ScInstaller tarafından kullanılana benzer özel bir TLS sertifikası bırakır. INI dosyası (ScInstaller tarafından oluşturulan) mevcut değilse, boş değerlere sahip bir dosya oluşturulur.

ScService başlatıldığında, her biri bir tane olmak üzere üç zamanlayıcı oluşturur:

1. C&C sunucusuna her 10 saniyede bir KEEP mesajı gönderir,
2. ipconfig /flushdns komutunu çalıştırarak DNS önbelleğini her beş saatte bir temizler ve
3. her beş dakikada bir C&C sunucusuna bağlanır.

Şekil 16 C&C sunucusuyla bağlantı kurarken özel sertifikanın kullanımını gösterir. ScService, hepsi ikili dosyada kodlanmış ve şifrelenmiş birden fazla C&C sunucusu kullanır.

TLS bağlantısı kurmanın yanı sıra ScService, C&C sunucusuyla 443 numaralı bağlantı noktasındaki TCP üzerinden iletişim kurar. Protokol çok basittir; ek bir şifreleme kullanılmaz. ScService verileri aldıktan sonra, verileri bilinen komut adları için tarar ve böyle bir komutu çalıştırır, isteğe bağlı olarak bir yanıt gönderir. ScService aşağıda gösterilen altı komutu tanır Tablo 7. Komut adı ve parametreleri # ile sınırlandırılmıştır. Kısacası, ScService rastgele komutları ve çalıştırılabilir dosyaları çalıştırabilir, bir SSH tüneli açıp kapatabilir, makine bilgilerini alabilir ve INI dosyasını güncelleyebilir.

Mart 2023 yeniden tasarım

Daha önce de belirttiğimiz gibi, ScService Mart 2023’te önemli bir değişiklik geçirdi. Her şeyden önce, hizmet parametreleri benzer bir modeli koruyarak biraz değişti (bkz. Tablo 8).

Ele geçirilen makine bilgilerinin elde edilme şekli değişti. ScService, 8347 numaralı bağlantı noktasında tek bir isteği kabul eden yerel bir HTTP sunucusu çalıştırır – /status. ScService daha sonra bu isteği sunucuya gönderir. Bu isteğin işlenmesi basittir: makine bilgilerini alır ve HTTP yanıtının içeriği olarak döndürür. Veriler bir INI dosyasında saklanabilecek şekilde biçimlendirilir – ki tam olarak olan da budur: ScService içeriği kendi INI dosyasında saklar. Toplanan bilgi şöyledir:

• OS = işletim sistemi adı
• CN = bilgisayar adı
• DO = kullanıcı etki alanı
• LIP = yerel IP adresleri

Birçok (hepsi değil) dizge artık 6e4867bb3b5fb30a9f23c696fd1ebb5b parolasından türetilen bir anahtarla AES-CBC algoritması kullanılarak şifrelenmektedir.

C&C protokolü değişti. İlginç bir şekilde, orijinal C&C iletişim protokolü uygulanmaya devam ediyor, ancak yalnızca bir hedefle iletişim kurmak için CONNECT komutu (aşağıya bakın) tarafından talimat verildiğinde kullanılıyor. Yeni ana C&C protokolü TCP yerine HTTP kullanmaktadır. Aşağıdaki HTTP başlıkları kullanılır:

• User-Agent = Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
• UNID = MAC adresi ve C: sürücüsü seri numarasının hexlified MD5 hash’i

Ek olarak, değeri OS, CN, DO ve LIP olarak depolanan, # ile birleştirilen ve base64 ile kodlanan önceden toplanmış makine bilgileri olan bir Oturum çerezi eklenir.

Komutlar JSON biçimindedir (bkz. Şekil 17).

Status alanı her zaman TASK değerine eşittir, CMD ve Params alanları ise komut adını ve parametrelerini tanımlar. Son olarak, TaskID değeri, varsa görev sonucunu C&C sunucusuna göndermek için kullanılır. Desteklenen komutlar tablo 9’da listelenmiştir.

SONUÇ

Bu blog yazısında, Scarab fidye yazılımını savunmasız sunuculara göndermek için kullanılan küçük bir Delphi araç seti olan Spacecolon’u ve CosmicBeetle adını verdiğimiz operatörlerini analiz ettik. Ek olarak, Spacecolon operatörleri için arka kapı erişimi sağlayabilir.

CosmicBeetle zararlı yazılımlarını gizlemek için fazla çaba sarf etmez ve ele geçirilen sistemlerde çok sayıda iz bırakır. Çok az ya da hiç anti-analiz ya da anti-emülasyon tekniği uygulanmamıştır. ScHackTool büyük ölçüde GUI’sine dayanır, ancak aynı zamanda işlevsel olmayan birkaç buton içerir. CosmicBeetle operatörleri ScHackTool’u çoğunlukla ele geçirilmiş makinelere istedikleri ek araçları indirmek ve bunları uygun gördükleri şekilde çalıştırmak için kullanırlar.

Spacecolon en az 2020’den beri aktif olarak kullanılmaktadır ve geliştirilmeye devam etmektedir. Yazarların, Zaufana Trzecia Strona yayını çıktıktan sonra, 2023 yılında tespit edilmekten kaçınmak için önemli çaba sarf ettiklerine inanıyoruz.

CosmicBeetle hedeflerini seçmez; daha ziyade, kritik güvenlik güncellemeleri eksik olan sunucuları bulur ve bunu kendi avantajına kullanır.

Yayın sırasında, ScRansom adını verdiğimiz ve büyük olasılıkla Spacecolon bileşenlerinin geliştiricisi tarafından yazılan yeni bir fidye yazılımı ailesi gözlemledik. Bu yazı yazıldığı sırada ScRansom’un yaygında konuşlandırıldığını görmedik.

IOC’LAR

Dosyalar

Network

Spacecolon’un genellikle kurulduğu yollar

• %USERPROFILE%\Müzik\
• &ALLUSERSPROFILE%\

CosmicBeetle tarafından oluşturulan özel hesapların adları

• support
• IIS
• IWAM_USR
• BK$

Scarab fidye yazılımı tarafından oluşturulan muteksler

• {46E4D4E6-8B81-84CA-93DA-BB29377B2AC0}
• {7F57FB1B-3D23-F225-D2E8-FD6FCF7731DC}

Impacket komutları

MITRE ATT&CK TEKNİKLERİ

EK A – SPACECOLON TARAFINDAN KULLANILAN ÜÇÜNCÜ TARAF ARAÇLAR

Aşağıdaki tabloda araçlar adlarına göre sıralanmıştır. “Araç adı” sütunu, tehdit aktörü tarafından araç arşivine atanan ada karşılık gelir ve “Arşiv yolu” sütunu, aracın C&C sunucusundaki arşivinin göreli yolunu listeler. En sondaki “Araç adı” “N/A” olarak ayarlanmış araçlar, C&C sunucusunda bulunan ancak CosmicBeetle tarafından bizim bildiğimiz herhangi bir yapılandırmada kullanılmayan araçları ifade eder. Son olarak, bazı araçlar artık C&C sunucusunda mevcut değil gibi görünüyor, ancak ScHackTool’da bunları talep etmek için bir buton hala var – bu, “Yorum” sütununun “Yok” olarak ayarlanmasıyla yansıtılıyor.

EK B – SPACECOLON SONLANDIRILAN SÜREÇ VE HIZMETLERIN LISTESI

EK C – SPACECOLON TÜMÜNÜ ÖLDÜR (VARSAYILAN) BUTON TARAFINDAN ÖLDÜRÜLEN SÜREÇLER

Eskiden Tümünü Öldür (Varsayılan) butonuyla sonlandırılan işlemlerin adları: