EMPTYSPACE Downloader
Finančně motivovaný aktér ohrožení známý jako UNC4990 využívá zbraňová zařízení USB k cílení na organizace v Itálii jako prvotní vektor infekce. Zdá se, že útoky jsou zaměřeny na více průmyslových odvětví, včetně zdravotnictví, dopravy, stavebnictví a logistiky. Operace UNC4990 obecně zahrnují rozšířenou infekci USB následovanou nasazením stahování EMPTYSPACE.
Během těchto útočných operací se cluster spoléhá na weby třetích stran, jako je GitHub, Vimeo a další, aby hostily zakódované další fáze, které stahuje a dekóduje prostřednictvím PowerShellu na začátku řetězce provádění.
Obsah
Aktéři hrozeb UNC4990 byli aktivní už roky
UNC4990 je aktivní od konce roku 2020 a předpokládá se, že operuje z Itálie, což je evidentní v jeho častém využívání italské infrastruktury pro funkce velení a řízení (C2). Konkrétní role UNC4990 zůstává nejistá; není jasné, zda skupina pouze usnadňuje počáteční přístup pro ostatní aktéry. Konečný cíl tohoto aktéra hrozby je také nejednoznačný. Existuje však případ, kdy výzkumníci zaznamenali nasazení open-source těžaře kryptoměn po měsících aktivity majáku.
Výzkumníci již dříve zdokumentovali podrobnosti o kampani na začátku prosince 2023, přičemž někteří sledovali stejného protivníka pod přezdívkou Nebula Broker.
The Attack Chain využívající EMPTYSPACE Downloader
Malwarová infekce se zahájí, když oběť dvakrát klikne na škodlivý soubor zástupce LNK na vyměnitelném zařízení USB. Tato akce spustí spuštění skriptu PowerShell zodpovědného za stažení EMPTYSPACE (také známého jako BrokerLoader nebo Vetta Loader) ze vzdáleného serveru. Stahování je usnadněno prostřednictvím přechodného skriptu PowerShell hostovaného na Vimeo.
Výzkumníci identifikovali čtyři různé varianty EMPTYSPACE kódované v Golang, .NET, Node.js a Pythonu. Po úplném nasazení funguje tato hrozba jako kanál pro získávání následných datových částí přes HTTP ze serveru C2, včetně zadních vrátek označovaných jako QUIETBOARD.
Pozoruhodný aspekt této fáze zahrnuje využití populárních webových stránek, jako jsou Ars Technica, GitHub, GitLab a Vimeo pro hostování nebezpečného nákladu. Podle zjištění výzkumu obsah hostovaný v těchto službách nepředstavuje přímé riziko pro běžné uživatele, protože izolovaný obsah je zcela neškodný. Jednotlivcům, kteří mohli v minulosti neúmyslně interagovat nebo si tento obsah prohlížet, nehrozí kompromitace.
Další hrozby, které přináší EMPTYSPACE Downloader
Naproti tomu QUIETBOARD je zadní vrátka založená na Pythonu vybavená rozmanitou sadou funkcí, které mu umožňují provádět libovolné příkazy, manipulovat s adresami kryptopeněženek zkopírovanými do schránky pro přesměrování převodů prostředků do peněženek pod kontrolou aktérů hrozeb, šířit malware na vyměnitelné disky. , pořizovat snímky obrazovky a shromažďovat systémové informace.
Navíc tato zadní vrátka vykazují schopnost modulárního rozšíření, což umožňuje provozovat nezávislé moduly Pythonu, jako jsou mincovníci. Může také dynamicky načítat a spouštět kód Pythonu ze serveru C2.
Analýza EMPTYSPACE a QUIETBOARD podtrhuje modulární přístup aktérů hrozeb při vývoji jejich sady nástrojů. Využití více programovacích jazyků k vytvoření různých verzí stahovacího programu EMPTYSPACE a změna adresy URL, když bylo video Vimeo staženo, prokazuje zálibu v experimentování a přizpůsobivosti ze strany aktérů hrozeb.
