EMPTYSPACE ডাউনলোডার

UNC4990 নামে পরিচিত একজন আর্থিকভাবে অনুপ্রাণিত হুমকি অভিনেতা একটি প্রাথমিক সংক্রমণ ভেক্টর হিসাবে ইতালিতে সংস্থাগুলিকে লক্ষ্য করার জন্য অস্ত্রযুক্ত USB ডিভাইসগুলি ব্যবহার করছে। আক্রমণগুলি স্বাস্থ্য, পরিবহন, নির্মাণ এবং রসদ সহ একাধিক শিল্পকে লক্ষ্যবস্তু বলে মনে হচ্ছে। UNC4990 অপারেশনে সাধারণত EMPTYSPACE ডাউনলোডার স্থাপনের পরে ব্যাপক USB সংক্রমণ জড়িত থাকে।

এই আক্রমণ ক্রিয়াকলাপগুলির সময়, ক্লাস্টারটি এনকোড করা অতিরিক্ত স্তরগুলি হোস্ট করার জন্য গিটহাব, ভিমিও এবং অন্যান্যের মতো তৃতীয় পক্ষের ওয়েবসাইটগুলির উপর নির্ভর করে, যা এটি এক্সিকিউশন চেইনের প্রথম দিকে পাওয়ারশেলের মাধ্যমে ডাউনলোড এবং ডিকোড করে।

UNC4990 হুমকি অভিনেতা বছর ধরে সক্রিয় হয়েছে

UNC4990 2020 সালের শেষের দিক থেকে সক্রিয় রয়েছে এবং এটি ইতালি থেকে কাজ করবে বলে মনে করা হয়, যা কমান্ড-এন্ড-কন্ট্রোল (C2) ফাংশনের জন্য ইতালীয় অবকাঠামোর ঘন ঘন ব্যবহারে স্পষ্ট। UNC4990 এর নির্দিষ্ট ভূমিকা অনিশ্চিত রয়ে গেছে; গ্রুপটি শুধুমাত্র অন্য অভিনেতাদের জন্য প্রাথমিক অ্যাক্সেসের সুবিধা দেয় কিনা তা স্পষ্ট নয়। এই হুমকি অভিনেতার চূড়ান্ত উদ্দেশ্যও অস্পষ্ট। যাইহোক, এমন একটি উদাহরণ রয়েছে যেখানে গবেষকরা কয়েক মাসের বীকনিং কার্যকলাপের পরে একটি ওপেন-সোর্স ক্রিপ্টোকারেন্সি মাইনার স্থাপনের কথা উল্লেখ করেছেন।

গবেষকরা এর আগে 2023 সালের ডিসেম্বরের শুরুতে প্রচারাভিযানের বিশদ বিবরণ নথিভুক্ত করেছিলেন, কেউ কেউ একই প্রতিপক্ষকে মনিকার নেবুলা ব্রোকারের অধীনে ট্র্যাক করে।

অ্যাটাক চেইন EMPTYSPACE ডাউনলোডার নিয়োগ করছে

ম্যালওয়্যার সংক্রমণ শুরু হয় যখন একজন শিকার অপসারণযোগ্য USB ডিভাইসে একটি ক্ষতিকারক LNK শর্টকাট ফাইলে ডাবল-ক্লিক করে। এই ক্রিয়াটি একটি দূরবর্তী সার্ভার থেকে EMPTYSPACE (ব্রোকারলোডার বা ভেটা লোডার নামেও পরিচিত) ডাউনলোড করার জন্য দায়ী একটি পাওয়ারশেল স্ক্রিপ্টের সম্পাদনকে ট্রিগার করে। ডাউনলোডটি ভিমিওতে হোস্ট করা একটি মধ্যবর্তী পাওয়ারশেল স্ক্রিপ্টের মাধ্যমে সহজতর করা হয়েছে।

গবেষকরা গোলং, .NET, Node.js এবং পাইথনে কোড করা EMPTYSPACE-এর চারটি স্বতন্ত্র রূপ চিহ্নিত করেছেন। একবার সম্পূর্ণরূপে মোতায়েন হয়ে গেলে, এই হুমকিটি C2 সার্ভার থেকে HTTP-এর উপর পরবর্তী পেলোডগুলি পুনরুদ্ধার করার জন্য একটি নালী হিসাবে কাজ করে, যার মধ্যে একটি ব্যাকডোর যাকে QUIETBOARD বলা হয়।

এই পর্বের একটি উল্লেখযোগ্য দিক হল অনিরাপদ পেলোড হোস্ট করার জন্য জনপ্রিয় ওয়েবসাইট যেমন Ars Technica, GitHub, GitLab এবং Vimeo-এর ব্যবহার। গবেষণার ফলাফল অনুসারে, এই পরিষেবাগুলিতে হোস্ট করা সামগ্রী দৈনন্দিন ব্যবহারকারীদের জন্য সরাসরি ঝুঁকি তৈরি করে না, কারণ বিচ্ছিন্ন বিষয়বস্তু সম্পূর্ণরূপে বিনয়ী। ব্যক্তি যারা অনিচ্ছাকৃতভাবে অতীতে এই বিষয়বস্তুর সাথে ইন্টারঅ্যাক্ট করেছেন বা দেখেছেন তারা আপস করার ঝুঁকিতে নেই৷

অতিরিক্ত হুমকি EMPTYSPACE ডাউনলোডার দ্বারা বিতরণ করা হয়েছে৷

বিপরীতে, QUIETBOARD হল একটি পাইথন-ভিত্তিক ব্যাকডোর যা বিভিন্ন বৈশিষ্ট্যের সাথে সজ্জিত যা এটিকে নির্বিচারে আদেশ কার্যকর করতে সক্ষম করে, হুমকি অভিনেতাদের নিয়ন্ত্রণে ওয়ালেটে তহবিল স্থানান্তর পুনঃনির্দেশিত করার জন্য ক্লিপবোর্ডে অনুলিপি করা ক্রিপ্টো ওয়ালেট ঠিকানাগুলি ম্যানিপুলেট করে, অপসারণযোগ্য ড্রাইভে ম্যালওয়্যার প্রচার করে। , স্ক্রিনশট ক্যাপচার করুন এবং সিস্টেমের তথ্য সংগ্রহ করুন।

তাছাড়া, এই ব্যাকডোর মডুলার সম্প্রসারণের ক্ষমতা প্রদর্শন করে, এটি স্বাধীন পাইথন মডিউল যেমন কয়েন মাইনার চালাতে সক্ষম করে। এটি গতিশীলভাবে C2 সার্ভার থেকে পাইথন কোড আনতে এবং কার্যকর করতে পারে।

EMPTYSPACE এবং QUIETBOARD-এর বিশ্লেষণ তাদের টুলসেট তৈরিতে হুমকি অভিনেতাদের মডুলার পদ্ধতির উপর আন্ডারস্কোর করে। EMPTYSPACE ডাউনলোডারের বিভিন্ন সংস্করণ তৈরি করতে একাধিক প্রোগ্রামিং ভাষার ব্যবহার এবং ভিমিও ভিডিওটি নামিয়ে নেওয়ার সময় URL-এর পরিবর্তন হুমকি অভিনেতাদের পক্ষ থেকে পরীক্ষা-নিরীক্ষা এবং অভিযোজনযোগ্যতার জন্য একটি ঝোঁক প্রদর্শন করে।