دانلود کننده EMPTYSPACE
یک عامل تهدید با انگیزه مالی که به نام UNC4990 شناخته میشود، از دستگاههای USB مسلح شده برای هدف قرار دادن سازمانها در ایتالیا به عنوان ناقل عفونت اولیه استفاده میکند. به نظر می رسد این حملات چندین صنعت از جمله بهداشت، حمل و نقل، ساخت و ساز و لجستیک را هدف قرار داده است. عملیات UNC4990 عموماً شامل عفونت گسترده USB و به دنبال آن استقرار بارگیری کننده EMPTYSPACE است.
در طول این عملیات حمله، خوشه به وبسایتهای شخص ثالث مانند GitHub، Vimeo و سایرین برای میزبانی مراحل اضافی رمزگذاری شده متکی است که در اوایل زنجیره اجرا، آنها را از طریق PowerShell دانلود و رمزگشایی میکند.
فهرست مطالب
بازیگران تهدید UNC4990 سالهاست که فعال بوده اند
UNC4990 از اواخر سال 2020 فعال بوده است و اعتقاد بر این است که از ایتالیا کار می کند، که در استفاده مکرر از زیرساخت ایتالیایی برای عملکردهای فرماندهی و کنترل (C2) مشهود است. نقش خاص UNC4990 نامشخص است. مشخص نیست که آیا این گروه فقط دسترسی اولیه را برای سایر بازیگران تسهیل می کند یا خیر. هدف نهایی این عامل تهدید نیز مبهم است. با این حال، نمونهای وجود دارد که محققان به استقرار یک ماینر رمزارز منبع باز پس از ماهها فعالیت beaconing اشاره کردند.
محققان قبلاً جزئیات این کمپین را در اوایل دسامبر 2023 مستند کرده بودند و برخی همان دشمن را تحت نام Nebula Broker دنبال می کردند.
زنجیره حمله با استفاده از دانلودر EMPTYSPACE
آلودگی بدافزار زمانی شروع می شود که قربانی روی یک فایل میانبر LNK مخرب روی یک دستگاه USB قابل جابجایی دوبار کلیک کند. این عمل باعث اجرای یک اسکریپت PowerShell می شود که مسئول دانلود EMPTYSPACE (همچنین به عنوان BrokerLoader یا Vetta Loader نیز شناخته می شود) از یک سرور راه دور. دانلود از طریق یک اسکریپت PowerShell متوسط که در Vimeo میزبانی شده است تسهیل می شود.
محققان چهار نوع متمایز از EMPTYSPACE را شناسایی کردهاند که در Golang، .NET، Node.js و Python کدگذاری شدهاند. پس از استقرار کامل، این تهدید به عنوان مجرای برای بازیابی بارهای پرداختی بعدی از طریق HTTP از سرور C2 عمل می کند، از جمله درب پشتی به نام QUIETBOARD.
یک جنبه قابل توجه این مرحله شامل استفاده از وب سایت های محبوب مانند Ars Technica، GitHub، GitLab و Vimeo برای میزبانی بار ناامن است. بر اساس یافتههای تحقیق، محتوای میزبانی شده در این سرویسها خطر مستقیمی برای کاربران روزمره ایجاد نمیکند، زیرا محتوای جدا شده کاملاً بیخطر است. افرادی که ممکن است در گذشته ناخواسته با این محتوا تعامل داشته باشند یا این محتوا را مشاهده کرده باشند، در معرض خطر قرار نمی گیرند.
تهدیدهای اضافی توسط بارگیری کننده EMPTYSPACE ارائه شده است
در مقابل، QUIETBOARD یک درب پشتی مبتنی بر پایتون است که به مجموعهای از ویژگیها مجهز است که به آن امکان میدهد دستورات دلخواه را اجرا کند، آدرسهای کیف پول رمزنگاریشده را که در کلیپبورد کپی شده برای هدایت انتقال وجه به کیفهای تحت کنترل بازیگران تهدید، دستکاری کند، و بدافزار را به درایوهای قابل جابجایی منتشر کند. ، اسکرین شات بگیرید و اطلاعات سیستم را جمع آوری کنید.
علاوه بر این، این درب پشتی قابلیت توسعه ماژولار را نشان میدهد و آن را قادر میسازد تا ماژولهای مستقل پایتون مانند ماینرهای سکه را اجرا کند. همچنین می تواند به صورت پویا کد پایتون را از سرور C2 واکشی و اجرا کند.
تجزیه و تحلیل EMPTYSPACE و QUIETBOARD بر رویکرد مدولار بازیگران تهدید در توسعه مجموعه ابزار خود تأکید می کند. استفاده از چندین زبان برنامه نویسی برای ایجاد نسخه های مختلف دانلودر EMPTYSPACE و تغییر URL در هنگام حذف ویدیوی Vimeo نشان دهنده تمایل به آزمایش و سازگاری از سوی عوامل تهدید است.