دانلود کننده EMPTYSPACE

یک عامل تهدید با انگیزه مالی که به نام UNC4990 شناخته می‌شود، از دستگاه‌های USB مسلح شده برای هدف قرار دادن سازمان‌ها در ایتالیا به عنوان ناقل عفونت اولیه استفاده می‌کند. به نظر می رسد این حملات چندین صنعت از جمله بهداشت، حمل و نقل، ساخت و ساز و لجستیک را هدف قرار داده است. عملیات UNC4990 عموماً شامل عفونت گسترده USB و به دنبال آن استقرار بارگیری کننده EMPTYSPACE است.

در طول این عملیات حمله، خوشه به وب‌سایت‌های شخص ثالث مانند GitHub، Vimeo و سایرین برای میزبانی مراحل اضافی رمزگذاری شده متکی است که در اوایل زنجیره اجرا، آن‌ها را از طریق PowerShell دانلود و رمزگشایی می‌کند.

بازیگران تهدید UNC4990 سالهاست که فعال بوده اند

UNC4990 از اواخر سال 2020 فعال بوده است و اعتقاد بر این است که از ایتالیا کار می کند، که در استفاده مکرر از زیرساخت ایتالیایی برای عملکردهای فرماندهی و کنترل (C2) مشهود است. نقش خاص UNC4990 نامشخص است. مشخص نیست که آیا این گروه فقط دسترسی اولیه را برای سایر بازیگران تسهیل می کند یا خیر. هدف نهایی این عامل تهدید نیز مبهم است. با این حال، نمونه‌ای وجود دارد که محققان به استقرار یک ماینر رمزارز منبع باز پس از ماه‌ها فعالیت beaconing اشاره کردند.

محققان قبلاً جزئیات این کمپین را در اوایل دسامبر 2023 مستند کرده بودند و برخی همان دشمن را تحت نام Nebula Broker دنبال می کردند.

زنجیره حمله با استفاده از دانلودر EMPTYSPACE

آلودگی بدافزار زمانی شروع می شود که قربانی روی یک فایل میانبر LNK مخرب روی یک دستگاه USB قابل جابجایی دوبار کلیک کند. این عمل باعث اجرای یک اسکریپت PowerShell می شود که مسئول دانلود EMPTYSPACE (همچنین به عنوان BrokerLoader یا Vetta Loader نیز شناخته می شود) از یک سرور راه دور. دانلود از طریق یک اسکریپت PowerShell متوسط که در Vimeo میزبانی شده است تسهیل می شود.

محققان چهار نوع متمایز از EMPTYSPACE را شناسایی کرده‌اند که در Golang، .NET، Node.js و Python کدگذاری شده‌اند. پس از استقرار کامل، این تهدید به عنوان مجرای برای بازیابی بارهای پرداختی بعدی از طریق HTTP از سرور C2 عمل می کند، از جمله درب پشتی به نام QUIETBOARD.

یک جنبه قابل توجه این مرحله شامل استفاده از وب سایت های محبوب مانند Ars Technica، GitHub، GitLab و Vimeo برای میزبانی بار ناامن است. بر اساس یافته‌های تحقیق، محتوای میزبانی شده در این سرویس‌ها خطر مستقیمی برای کاربران روزمره ایجاد نمی‌کند، زیرا محتوای جدا شده کاملاً بی‌خطر است. افرادی که ممکن است در گذشته ناخواسته با این محتوا تعامل داشته باشند یا این محتوا را مشاهده کرده باشند، در معرض خطر قرار نمی گیرند.

تهدیدهای اضافی توسط بارگیری کننده EMPTYSPACE ارائه شده است

در مقابل، QUIETBOARD یک درب پشتی مبتنی بر پایتون است که به مجموعه‌ای از ویژگی‌ها مجهز است که به آن امکان می‌دهد دستورات دلخواه را اجرا کند، آدرس‌های کیف پول رمزنگاری‌شده را که در کلیپ‌بورد کپی شده برای هدایت انتقال وجه به کیف‌های تحت کنترل بازیگران تهدید، دستکاری کند، و بدافزار را به درایوهای قابل جابجایی منتشر کند. ، اسکرین شات بگیرید و اطلاعات سیستم را جمع آوری کنید.

علاوه بر این، این درب پشتی قابلیت توسعه ماژولار را نشان می‌دهد و آن را قادر می‌سازد تا ماژول‌های مستقل پایتون مانند ماینرهای سکه را اجرا کند. همچنین می تواند به صورت پویا کد پایتون را از سرور C2 واکشی و اجرا کند.

تجزیه و تحلیل EMPTYSPACE و QUIETBOARD بر رویکرد مدولار بازیگران تهدید در توسعه مجموعه ابزار خود تأکید می کند. استفاده از چندین زبان برنامه نویسی برای ایجاد نسخه های مختلف دانلودر EMPTYSPACE و تغییر URL در هنگام حذف ویدیوی Vimeo نشان دهنده تمایل به آزمایش و سازگاری از سوی عوامل تهدید است.