Πρόγραμμα λήψης EMPTYSPACE
Ένας παράγοντας απειλών με οικονομικά κίνητρα, γνωστός ως UNC4990, αξιοποιεί οπλισμένες συσκευές USB για να στοχεύσει οργανισμούς στην Ιταλία ως αρχικό φορέα μόλυνσης. Οι επιθέσεις φαίνεται να στοχεύουν σε πολλαπλούς κλάδους, συμπεριλαμβανομένης της υγείας, των μεταφορών, των κατασκευών και της εφοδιαστικής. Οι λειτουργίες UNC4990 περιλαμβάνουν γενικά εκτεταμένη μόλυνση από USB που ακολουθείται από την ανάπτυξη του προγράμματος λήψης EMPTYSPACE.
Κατά τη διάρκεια αυτών των λειτουργιών επίθεσης, το σύμπλεγμα βασίζεται σε ιστότοπους τρίτων, όπως το GitHub, το Vimeo και άλλους για να φιλοξενήσει κωδικοποιημένα πρόσθετα στάδια, τα οποία κατεβάζει και αποκωδικοποιεί μέσω του PowerShell στην αρχή της αλυσίδας εκτέλεσης.
Πίνακας περιεχομένων
Οι ηθοποιοί της απειλής UNC4990 ήταν ενεργοί εδώ και χρόνια
Το UNC4990 είναι ενεργό από τα τέλη του 2020 και πιστεύεται ότι λειτουργεί από την Ιταλία, κάτι που είναι εμφανές στη συχνή χρήση της ιταλικής υποδομής για λειτουργίες διοίκησης και ελέγχου (C2). Ο συγκεκριμένος ρόλος του UNC4990 παραμένει αβέβαιος. Δεν είναι σαφές εάν η ομάδα διευκολύνει αποκλειστικά την αρχική πρόσβαση άλλων παραγόντων. Ο απώτερος στόχος αυτού του παράγοντα απειλής είναι επίσης διφορούμενος. Ωστόσο, υπάρχει μια περίπτωση όπου οι ερευνητές παρατήρησαν την ανάπτυξη ενός εξορύκτη κρυπτονομισμάτων ανοιχτού κώδικα μετά από μήνες δραστηριότητας beaconing.
Οι ερευνητές είχαν προηγουμένως τεκμηριώσει λεπτομέρειες της εκστρατείας στις αρχές Δεκεμβρίου 2023, με ορισμένους να παρακολουθούν τον ίδιο αντίπαλο με το όνομα Nebula Broker.
Η αλυσίδα επίθεσης που χρησιμοποιεί το πρόγραμμα λήψης EMPTYSPACE
Η μόλυνση από κακόβουλο λογισμικό ξεκινά όταν ένα θύμα κάνει διπλό κλικ σε ένα κακόβουλο αρχείο συντόμευσης LNK σε μια αφαιρούμενη συσκευή USB. Αυτή η ενέργεια ενεργοποιεί την εκτέλεση ενός σεναρίου PowerShell που είναι υπεύθυνο για τη λήψη του EMPTYSPACE (γνωστό και ως BrokerLoader ή Vetta Loader) από έναν απομακρυσμένο διακομιστή. Η λήψη διευκολύνεται μέσω ενός ενδιάμεσου σεναρίου PowerShell που φιλοξενείται στο Vimeo.
Οι ερευνητές έχουν εντοπίσει τέσσερις διαφορετικές παραλλαγές του EMPTYSPACE, κωδικοποιημένες σε Golang, .NET, Node.js και Python. Μόλις αναπτυχθεί πλήρως, αυτή η απειλή λειτουργεί ως αγωγός για την ανάκτηση επόμενων ωφέλιμων φορτίων μέσω HTTP από τον διακομιστή C2, συμπεριλαμβανομένης μιας κερκόπορτας που αναφέρεται ως QUIETBOARD.
Μια αξιοσημείωτη πτυχή αυτής της φάσης περιλαμβάνει τη χρήση δημοφιλών ιστότοπων όπως οι Ars Technica, GitHub, GitLab και Vimeo για τη φιλοξενία του μη ασφαλούς ωφέλιμου φορτίου. Σύμφωνα με τα ευρήματα της έρευνας, το περιεχόμενο που φιλοξενείται σε αυτές τις υπηρεσίες δεν ενέχει άμεσο κίνδυνο για τους καθημερινούς χρήστες, καθώς το απομονωμένο περιεχόμενο είναι εντελώς καλοπροαίρετο. Άτομα που μπορεί να έχουν αλληλεπιδράσει ακούσια ή να έχουν δει αυτό το περιεχόμενο στο παρελθόν δεν διατρέχουν κίνδυνο συμβιβασμού.
Πρόσθετες απειλές που παρέχονται από το πρόγραμμα λήψης EMPTYSPACE
Αντίθετα, το QUIETBOARD είναι ένα backdoor που βασίζεται σε Python εξοπλισμένο με ένα ποικίλο σύνολο χαρακτηριστικών που του επιτρέπουν να εκτελεί αυθαίρετες εντολές, να χειρίζεται διευθύνσεις πορτοφολιών κρυπτογράφησης που έχουν αντιγραφεί στο πρόχειρο για να ανακατευθύνει τις μεταφορές κεφαλαίων σε πορτοφόλια υπό τον έλεγχο των παραγόντων απειλών, να διαδίδει κακόβουλο λογισμικό σε αφαιρούμενες μονάδες δίσκου , τραβήξτε στιγμιότυπα οθόνης και συλλέξτε πληροφορίες συστήματος.
Επιπλέον, αυτή η κερκόπορτα παρουσιάζει τη δυνατότητα για αρθρωτή επέκταση, επιτρέποντάς της να τρέχει ανεξάρτητες μονάδες Python, όπως οι εξορύκτες νομισμάτων. Μπορεί επίσης να ανακτήσει και να εκτελέσει δυναμικά κώδικα Python από τον διακομιστή C2.
Η ανάλυση του EMPTYSPACE και του QUIETBOARD υπογραμμίζει τη σπονδυλωτή προσέγγιση των παραγόντων απειλής κατά την ανάπτυξη του συνόλου εργαλείων τους. Η χρήση πολλαπλών γλωσσών προγραμματισμού για τη δημιουργία διαφόρων εκδόσεων του προγράμματος λήψης EMPTYSPACE και η αλλαγή της διεύθυνσης URL κατά την κατάργηση του βίντεο του Vimeo καταδεικνύουν μια τάση για πειραματισμό και προσαρμοστικότητα από την πλευρά των παραγόντων απειλής.
