EMPTYSPACE Downloader
Финансово мотивирана заплаха, известна като UNC4990, използва оръжейни USB устройства, за да се насочи към организации в Италия като първоначален вектор на инфекция. Атаките изглежда са насочени към множество индустрии, включително здравеопазване, транспорт, строителство и логистика. Операциите на UNC4990 обикновено включват широкоразпространена USB инфекция, последвана от внедряване на програмата за изтегляне EMPTYSPACE.
По време на тези операции на атака, клъстерът разчита на уебсайтове на трети страни като GitHub, Vimeo и други, за да хостват кодирани допълнителни етапи, които изтегля и декодира чрез PowerShell в началото на веригата за изпълнение.
Съдържание
Актьорите на заплахи UNC4990 са активни от години
UNC4990 е активен от края на 2020 г. и се смята, че работи от Италия, което е очевидно в честото му използване на италианска инфраструктура за функции за командване и контрол (C2). Конкретната роля на UNC4990 остава несигурна; не е ясно дали групата само улеснява първоначалния достъп за други участници. Крайната цел на тази заплаха също е двусмислена. Въпреки това, има случай, в който изследователите отбелязват внедряването на копач на криптовалута с отворен код след месеци на дейност по сигнализация.
Изследователите вече са документирали подробности за кампанията в началото на декември 2023 г., като някои проследяват същия противник под псевдонима Nebula Broker.
Веригата на атака, използваща програмата за изтегляне EMPTYSPACE
Инфекцията със злонамерен софтуер започва, когато жертвата щракне два пъти върху злонамерен LNK файл с пряк път на сменяемо USB устройство. Това действие задейства изпълнението на PowerShell скрипт, отговорен за изтеглянето на EMPTYSPACE (известен също като BrokerLoader или Vetta Loader) от отдалечен сървър. Изтеглянето се улеснява чрез междинен PowerShell скрипт, хостван на Vimeo.
Изследователите са идентифицирали четири различни варианта на EMPTYSPACE, кодирани в Golang, .NET, Node.js и Python. След като бъде напълно разгърната, тази заплаха функционира като канал за извличане на последващи полезни товари през HTTP от сървъра C2, включително задна врата, наричана QUIETBOARD.
Забележителен аспект на тази фаза включва използването на популярни уебсайтове като Ars Technica, GitHub, GitLab и Vimeo за хостване на опасния полезен товар. Според резултатите от изследването съдържанието, хоствано на тези услуги, не представлява пряк риск за обикновените потребители, тъй като изолираното съдържание е напълно безвредно. Лица, които може да са взаимодействали неволно с това съдържание или да са го гледали в миналото, не са изложени на риск от компрометиране.
Допълнителни заплахи, доставени от програмата за изтегляне EMPTYSPACE
За разлика от това, QUIETBOARD е базирана на Python задна врата, оборудвана с разнообразен набор от функции, позволяващи му да изпълнява произволни команди, да манипулира адреси на крипто портфейли, копирани в клипборда за пренасочване на парични преводи към портфейли под контрола на участниците в заплахата, да разпространява зловреден софтуер към сменяеми устройства , правете екранни снимки и събирайте системна информация.
Освен това, тази задна вратичка показва възможност за модулно разширение, което му позволява да изпълнява независими модули на Python, като копачи на монети. Освен това може динамично да извлича и изпълнява код на Python от сървъра C2.
Анализът на EMPTYSPACE и QUIETBOARD подчертава модулния подход на участниците в заплахата при разработването на техния набор от инструменти. Използването на множество езици за програмиране за създаване на различни версии на програмата за изтегляне EMPTYSPACE и промяната на URL адреса, когато видеоклипът на Vimeo беше свален, демонстрират склонност към експериментиране и адаптивност от страна на участниците в заплахата.
