Descarregador EMPTYSPACE
Un actor d'amenaces amb motivació financera conegut com UNC4990 està aprofitant dispositius USB armats per orientar organitzacions a Itàlia com a vector d'infecció inicial. Els atacs semblen estar dirigits a múltiples indústries, com ara la salut, el transport, la construcció i la logística. Les operacions UNC4990 solen implicar una infecció USB generalitzada seguida del desplegament del descarregador EMPTYSPACE.
Durant aquestes operacions d'atac, el clúster depèn de llocs web de tercers com GitHub, Vimeo i altres per allotjar etapes addicionals codificades, que baixa i descodifica mitjançant PowerShell al principi de la cadena d'execució.
Taula de continguts
Els actors d’amenaça UNC4990 han estat actius durant anys
UNC4990 ha estat actiu des de finals de 2020 i es creu que opera des d'Itàlia, cosa que és evident en el seu ús freqüent de la infraestructura italiana per a funcions de comandament i control (C2). El paper específic d'UNC4990 segueix sent incert; no està clar si el grup només facilita l'accés inicial per a altres actors. L'objectiu final d'aquest actor d'amenaça també és ambigu. Tanmateix, hi ha un cas en què els investigadors van observar el desplegament d'un miner de criptomoneda de codi obert després de mesos d'activitat de balises.
Els investigadors havien documentat prèviament els detalls de la campanya a principis de desembre de 2023, amb alguns seguiments del mateix adversari sota el sobrenom de Nebula Broker.
La cadena d’atac que utilitza el descarregador EMPTYSPACE
La infecció de programari maliciós s'inicia quan una víctima fa doble clic en un fitxer de drecera LNK maliciós en un dispositiu USB extraïble. Aquesta acció activa l'execució d'un script de PowerShell responsable de descarregar EMPTYSPACE (també conegut com a BrokerLoader o Vetta Loader) des d'un servidor remot. La descàrrega es facilita mitjançant un script de PowerShell intermedi allotjat a Vimeo.
Els investigadors han identificat quatre variants diferents d'EMPTYSPACE, codificades en Golang, .NET, Node.js i Python. Un cop desplegada completament, aquesta amenaça funciona com a conducte per recuperar les càrregues útils posteriors a través d'HTTP del servidor C2, inclosa una porta posterior anomenada QUIETBOARD.
Un aspecte destacable d'aquesta fase implica la utilització de llocs web populars com Ars Technica, GitHub, GitLab i Vimeo per allotjar la càrrega útil no segura. Segons els resultats de la investigació, el contingut allotjat en aquests serveis no suposa un risc directe per als usuaris quotidians, ja que el contingut aïllat és totalment benigne. Les persones que poden haver interaccionat o vist aquest contingut sense voler en el passat no corren el risc de comprometre's.
Amenaces addicionals proporcionades pel descarregador EMPTYSPACE
En canvi, QUIETBOARD és una porta posterior basada en Python equipada amb un conjunt divers de funcions que li permeten executar ordres arbitràries, manipular adreces de cartera criptogràfica copiades al porta-retalls per redirigir les transferències de fons a carteres sota el control dels actors de l'amenaça, propagar programari maliciós a unitats extraïbles. , captura captures de pantalla i recopila informació del sistema.
A més, aquesta porta del darrere mostra la capacitat d'expansió modular, cosa que li permet executar mòduls Python independents, com ara els miners de monedes. També pot obtenir i executar codi Python de forma dinàmica des del servidor C2.
L'anàlisi d'EMPTYSPACE i QUIETBOARD subratlla l'enfocament modular dels actors d'amenaça en el desenvolupament del seu conjunt d'eines. La utilització de diversos llenguatges de programació per crear diverses versions del descarregador EMPTYSPACE i l'alteració de l'URL quan es va retirar el vídeo de Vimeo demostren una inclinació per l'experimentació i l'adaptabilitat per part dels actors de l'amenaça.
