EMPTYSPACE Downloader

يقوم جهة تهديد ذات دوافع مالية تُعرف باسم UNC4990 بالاستفادة من أجهزة USB المسلحة لاستهداف المؤسسات في إيطاليا باعتبارها ناقلًا أوليًا للعدوى. ويبدو أن الهجمات تستهدف صناعات متعددة، بما في ذلك الصحة والنقل والبناء والخدمات اللوجستية. تتضمن عمليات UNC4990 بشكل عام عدوى USB واسعة النطاق متبوعة بنشر برنامج تنزيل EMPTYSPACE.

أثناء عمليات الهجوم هذه، تعتمد المجموعة على مواقع ويب تابعة لجهات خارجية مثل GitHub وVimeo وغيرها لاستضافة مراحل إضافية مشفرة، والتي تقوم بتنزيلها وفك تشفيرها عبر PowerShell في وقت مبكر من سلسلة التنفيذ.

لقد كانت الجهات الفاعلة في مجال التهديد UNC4990 نشطة لسنوات

كان UNC4990 نشطًا منذ أواخر عام 2020 ويُعتقد أنه يعمل من إيطاليا، وهو ما يتضح في استخدامه المتكرر للبنية التحتية الإيطالية لوظائف القيادة والسيطرة (C2). لا يزال الدور المحدد لـ UNC4990 غير مؤكد؛ ومن غير الواضح ما إذا كانت المجموعة تسهل فقط الوصول الأولي للجهات الفاعلة الأخرى. الهدف النهائي لممثل التهديد هذا غامض أيضًا. ومع ذلك، هناك حالة لاحظ فيها الباحثون نشر أداة تعدين عملة مشفرة مفتوحة المصدر بعد أشهر من نشاط المنارة.

وكان الباحثون قد وثقوا سابقًا تفاصيل الحملة في أوائل ديسمبر 2023، مع قيام البعض بتتبع نفس الخصم تحت لقب Nebula Broker.

سلسلة الهجوم التي تستخدم أداة تنزيل EMPTYSPACE

تبدأ الإصابة بالبرامج الضارة عندما ينقر الضحية نقرًا مزدوجًا على ملف اختصار LNK ضار الموجود على جهاز USB قابل للإزالة. يؤدي هذا الإجراء إلى تنفيذ برنامج PowerShell النصي المسؤول عن تنزيل EMPTYSPACE (المعروف أيضًا باسم BrokerLoader أو Vetta Loader) من خادم بعيد. يتم تسهيل التنزيل من خلال برنامج PowerShell النصي الوسيط المستضاف على Vimeo.

حدد الباحثون أربعة أنواع مختلفة من EMPTYSPACE، مشفرة بـ Golang، .NET، Node.js، وPython. بمجرد نشره بالكامل، يعمل هذا التهديد كقناة لاسترداد الحمولات اللاحقة عبر HTTP من خادم C2، بما في ذلك الباب الخلفي المشار إليه باسم QUIETBOARD.

يتضمن الجانب الجدير بالملاحظة في هذه المرحلة استخدام مواقع الويب الشهيرة مثل Ars Technica وGitHub وGitLab وVimeo لاستضافة الحمولة غير الآمنة. ووفقا لنتائج البحث، فإن المحتوى المستضاف على هذه الخدمات لا يشكل خطرا مباشرا على المستخدمين العاديين، حيث أن المحتوى المعزول حميد تماما. الأفراد الذين ربما تفاعلوا مع هذا المحتوى أو شاهدوه عن غير قصد في الماضي ليسوا معرضين لخطر التسوية.

التهديدات الإضافية التي يقدمها برنامج EMPTYSPACE Downloader

في المقابل، فإن QUIETBOARD عبارة عن باب خلفي يعتمد على لغة Python ومجهز بمجموعة متنوعة من الميزات التي تمكنه من تنفيذ أوامر عشوائية، ومعالجة عناوين محافظ العملات المشفرة المنسوخة إلى الحافظة لإعادة توجيه تحويلات الأموال إلى المحافظ الخاضعة لسيطرة الجهات التهديدية، ونشر البرامج الضارة على محركات الأقراص القابلة للإزالة. والتقاط لقطات الشاشة وجمع معلومات النظام.

علاوة على ذلك، يُظهر هذا الباب الخلفي القدرة على التوسع المعياري، مما يمكنه من تشغيل وحدات بايثون المستقلة مثل عمال مناجم العملات. يمكنه أيضًا جلب كود Python وتنفيذه ديناميكيًا من خادم C2.

يؤكد تحليل EMPTYSPACE وQUIETBOARD على النهج المعياري الذي تتبعه الجهات الفاعلة في مجال التهديد في تطوير مجموعة أدواتها. إن استخدام لغات برمجة متعددة لإنشاء إصدارات مختلفة من برنامج تنزيل EMPTYSPACE وتغيير عنوان URL عند إزالة فيديو Vimeo يُظهر ميلًا للتجريب والقدرة على التكيف من جانب الجهات الفاعلة في التهديد.