Spacecolon, набор инструментов, используемый для развертывания вымогательского ПО Scarab на уязвимых серверах, и его операторы, компания CosmicBeetle
- Операторы CosmicBeetle, вероятно, компрометируют веб-серверы, подверженные уязвимости ZeroLogon, или те, чьи учетные данные RDP им удается перебрать.
- Spacecolon предоставляет по запросу большое количество инструментов сторонних разработчиков.
- CosmicBeetle не имеет четкой целевой направленности, его жертвы находятся по всему миру.
- Spacecolon может выступать в роли RAT и/или распространять программы-вымогатели; мы видели, как он поставлял Scarab.
- Судя по всему, операторы или разработчики Spacecolon готовят к распространению новую программу-вымогатель, которую ESET назвали ScRansom.
Indicators of Compromise
IPv4
- 162.255.119.146
- 185.170.144.190
- 185.202.0.149
- 193.149.185.23
- 193.37.69.152
- 193.37.69.153
- 206.188.196.104
- 213.232.255.131
- 3.76.107.228
- 87.251.64.19
- 87.251.64.57
- 87.251.67.163
Domains
- akamaicdnup.com
- b.688.org
- cdnupdate.net
- ss.688.org
- sys.688.org
- u.cbu.net
- u.piii.net
- up.awiki.org
- up.vctel.com
- update.cbu.net
- update.inet2.org
SHA1
- 0a2fa26d6eab6e9b74ad54d37c82dee83e80bdd7
- 1cb9320c010065e18881f0aaa0b72fc7c5f85956
- 2e4a85269ba1fdba74a49b0df3397d6e4397db78
- 40b8af12ea6f89db6ed635037f468aadee7f4ca6
- 4b07391434332e4f8faadf61f288e48389bcea08
- 6700afb03934b01b0b2a9885799322307e3299d5
- 7aa1a41f561993c4cca9361f9baef2b00e31c05d
- 7bc7eeaaf635a45bc2056c468c4c42cc4c7b8f05
- 8f1374d4d6cc2899da1251de0325a7095e719edc
- 95931de0aa6d96568acebc11e551e8e1305bf003
- b916535362e2b691c6aef76021944b4a23dde190
- b9cf8b18a84655d0e8ef1bb14c60763cefff9686
- e2eaa1ee0b51caf803ceedd7d3452577b6fe7a8d
- ef911db066866fe2734038a35a3b298359edabce
