EMPTYSPACE Downloader
Rahaliselt motiveeritud ohustaja, tuntud kui UNC4990, kasutab relvastatud USB-seadmeid, et sihtida Itaalia organisatsioone kui esialgset nakkuse levikut. Rünnakud näivad olevat suunatud mitmele tööstusharule, sealhulgas tervishoid, transport, ehitus ja logistika. UNC4990 toimingud hõlmavad üldiselt laialt levinud USB-nakkust, millele järgneb allalaadija EMPTYSPACE juurutamine.
Nende ründeoperatsioonide ajal toetub klaster kolmandate osapoolte veebisaitidele, nagu GitHub, Vimeo ja teistele, et majutada kodeeritud lisaetappe, mille ta laadib alla ja dekodeerib PowerShelli kaudu täitmisahela alguses.
Sisukord
UNC4990 ohunäitlejad on tegutsenud aastaid
UNC4990 on olnud aktiivne alates 2020. aasta lõpust ja arvatakse, et see toimib Itaaliast, mis ilmneb selles, et see kasutab sageli Itaalia infrastruktuuri käsu- ja kontrollifunktsioonide (C2) jaoks. UNC4990 konkreetne roll on endiselt ebakindel; on ebaselge, kas rühm hõlbustab ainult teiste osalejate esialgset juurdepääsu. Ka selle ohus osaleja lõppeesmärk on mitmetähenduslik. Siiski on juhtum, kus teadlased märkisid avatud lähtekoodiga krüptovaluuta kaevandaja kasutuselevõttu pärast kuudepikkust tegevust.
Teadlased olid varem dokumenteerinud kampaania üksikasjad 2023. aasta detsembri alguses, kusjuures mõned jälgisid sama vastast nimetuse Nebula Broker all.
Rünnakett, mis kasutab allalaadijat EMPTYSPACE
Pahavara nakatumine saab alguse, kui ohver topeltklõpsab eemaldataval USB-seadmel oleval pahatahtlikul LNK otseteefailil. See toiming käivitab PowerShelli skripti täitmise, mis vastutab EMPTYSPACE (tuntud ka kui BrokerLoader või Vetta Loader) allalaadimise eest kaugserverist. Allalaadimist hõlbustab Vimeos hostitud vahepealne PowerShelli skript.
Teadlased on tuvastanud neli erinevat EMPTYSPACE'i varianti, mis on kodeeritud Golangis, .NET-is, Node.js-s ja Pythonis. Kui see oht on täielikult kasutusele võetud, toimib see kanalina järgmiste kasulike koormuste hankimiseks HTTP kaudu C2-serverist, sealhulgas tagauksest, mida nimetatakse QUIETBOARDiks.
Selle etapi tähelepanuväärne aspekt hõlmab populaarsete veebisaitide, nagu Ars Technica, GitHub, GitLab ja Vimeo, kasutamist ohtliku kandevõime majutamiseks. Uuringutulemuste kohaselt ei kujuta nendes teenustes hostitud sisu igapäevakasutajatele otsest ohtu, kuna isoleeritud sisu on täiesti healoomuline. Isikuid, kes on seda sisu varem tahtmatult suhelnud või vaadanud, ei ohusta ohtu sattuda.
Täiendavad ohud, mida pakub EMPTYSPACE allalaadija
Seevastu QUIETBOARD on Pythonil põhinev tagauks, mis on varustatud mitmesuguste funktsioonidega, mis võimaldavad tal täita suvalisi käske, manipuleerida lõikepuhvrisse kopeeritud krüptorahakoti aadressidega, et suunata rahaülekandeid ohus osalejate kontrolli all olevatesse rahakottidesse, levitada pahavara irdketastele. , jäädvustada ekraanipilte ja koguda süsteemiteavet.
Lisaks on sellel tagauksel võimalus modulaarseks laiendamiseks, võimaldades sellel käitada sõltumatuid Pythoni mooduleid, näiteks mündikaevureid. Samuti saab see dünaamiliselt tuua ja käivitada Pythoni koodi C2-serverist.
EMPTYSPACE'i ja QUIETBOARDi analüüs rõhutab ohus osalejate modulaarset lähenemist oma tööriistakomplekti arendamisel. Mitme programmeerimiskeele kasutamine EMPTYSPACE allalaadija erinevate versioonide loomiseks ja URL-i muutmine Vimeo video mahavõtmisel näitavad ohus osalejate kalduvust eksperimenteerida ja kohanemisvõimet.
