EMPTYSPACE Downloader
En økonomisk motiveret trusselsaktør kendt som UNC4990 udnytter våbenbaserede USB-enheder til at målrette mod organisationer i Italien som en indledende infektionsvektor. Angrebene ser ud til at være rettet mod flere industrier, herunder sundhed, transport, byggeri og logistik. UNC4990-operationer involverer generelt udbredt USB-infektion efterfulgt af implementeringen af EMPTYSPACE-downloaderen.
Under disse angrebsoperationer er klyngen afhængig af tredjepartswebsteder som GitHub, Vimeo og andre til at være vært for kodede yderligere stadier, som den downloader og afkoder via PowerShell tidligt i udførelseskæden.
Indholdsfortegnelse
UNC4990 Threat Actors har været aktive i årevis
UNC4990 har været aktiv siden slutningen af 2020 og menes at operere fra Italien, hvilket er tydeligt i dens hyppige brug af italiensk infrastruktur til kommando-og-kontrol (C2) funktioner. UNC4990's specifikke rolle er fortsat usikker; det er uklart, om gruppen udelukkende letter indledende adgang for andre aktører. Det endelige mål for denne trusselsaktør er også tvetydigt. Der er dog et tilfælde, hvor forskere bemærkede udrulningen af en open-source cryptocurrency-minearbejder efter måneders beaconing-aktivitet.
Forskere havde tidligere dokumenteret detaljer om kampagnen i begyndelsen af december 2023, hvor nogle sporede den samme modstander under navnet Nebula Broker.
Angrebskæden, der bruger EMPTYSPACE Downloader
Malwareinfektionen starter, når et offer dobbeltklikker på en ondsindet LNK-genvejsfil på en flytbar USB-enhed. Denne handling udløser udførelsen af et PowerShell-script, der er ansvarligt for at downloade EMPTYSPACE (også kendt som BrokerLoader eller Vetta Loader) fra en fjernserver. Downloaden er lettet gennem et mellemliggende PowerShell-script, der hostes på Vimeo.
Forskere har identificeret fire forskellige varianter af EMPTYSPACE, kodet i Golang, .NET, Node.js og Python. Når den er fuldt implementeret, fungerer denne trussel som en kanal til at hente efterfølgende nyttelaster over HTTP fra C2-serveren, inklusive en bagdør kaldet QUIETBOARD.
Et bemærkelsesværdigt aspekt af denne fase involverer brugen af populære websteder som Ars Technica, GitHub, GitLab og Vimeo til at hoste den usikre nyttelast. Ifølge forskningsresultaterne udgør indholdet, der hostes på disse tjenester, ikke en direkte risiko for almindelige brugere, da det isolerede indhold er helt godartet. Personer, der måske utilsigtet har interageret med eller set dette indhold tidligere, risikerer ikke at gå på kompromis.
Yderligere trusler leveret af EMPTYSPACE Downloader
I modsætning hertil er QUIETBOARD en Python-baseret bagdør udstyret med et mangfoldigt sæt funktioner, der gør det muligt at udføre vilkårlige kommandoer, manipulere crypto wallet-adresser kopieret til udklipsholderen for at omdirigere pengeoverførsler til tegnebøger under truslens aktørers kontrol, sprede malware til flytbare drev , optag skærmbilleder og indsaml systemoplysninger.
Desuden udviser denne bagdør muligheden for modulær udvidelse, hvilket gør den i stand til at køre uafhængige Python-moduler såsom møntminearbejdere. Det kan også dynamisk hente og udføre Python-kode fra C2-serveren.
Analysen af EMPTYSPACE og QUIETBOARD understreger trusselsaktørernes modulære tilgang til udvikling af deres værktøjssæt. Brugen af flere programmeringssprog til at skabe forskellige versioner af EMPTYSPACE-downloaderen og ændringen af URL'en, da Vimeo-videoen blev fjernet, demonstrerer en hang til eksperimentering og tilpasningsevne fra trusselsaktørernes side.
