國際資安大廠ESET揭露一起駭客組織CosmicBeetle的攻擊行動,駭客從2020年5月,利用名為Spacecolon的惡意工具包,鎖定存在ZeroLogon漏洞的電腦,或是針對能夠暴力破解的遠端桌面連線(RDP)伺服器下手,一旦成功入侵便會部署攻擊工具包的ScHackTool元件,進而透過其他工具來停用防毒軟體或資安防護元件,並收集敏感資料以便獲得進一步的存取權限。
接著,駭客部署工具包的另一個元件ScInstaller,並將其用於安裝遠端存取工具ScService,最終植入勒索軟體Scarab。在部分攻擊行動裡,駭客透過開源的網路掃描工具Impacket取代ScInstaller,不過,也有未用ScHackTool的情況。此外,在研究人員看到的勒索軟體當中,內含了名為ClipBanker的剪貼簿挾持軟體,該惡意程式竄改使用者複製的加密貨幣錢包地址,將資金轉到攻擊者的錢包。
另研究人員亦發現在部分情境裡,駭客還會執行.NET程式ScPatcher,修補受害系統的特定漏洞。
#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/
原文出處:https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/