EMPTYSPACE Downloader
Taloudellisesti motivoitunut uhkatekijä, joka tunnetaan nimellä UNC4990, hyödyntää aseistettuja USB-laitteita kohdistaakseen italialaisia organisaatioita ensimmäiseksi tartuntavektoriksi. Hyökkäykset näyttävät kohdistuvan useisiin toimialoihin, mukaan lukien terveydenhuolto, kuljetus, rakentaminen ja logistiikka. UNC4990-toiminnot sisältävät yleensä laajalle levinneen USB-tartunnan, jota seuraa EMPTYSPACE-latausohjelman käyttöönotto.
Näiden hyökkäysoperaatioiden aikana klusteri luottaa kolmannen osapuolen verkkosivustoihin, kuten GitHubin, Vimeoon ja muihin, isännöimään koodattuja lisävaiheita, jotka se lataa ja purkaa PowerShellin kautta suoritusketjun varhaisessa vaiheessa.
Sisällysluettelo
UNC4990:n uhkanäyttelijät ovat olleet aktiivisia vuosia
UNC4990 on ollut aktiivinen vuoden 2020 lopusta lähtien, ja sen uskotaan toimivan Italiasta, mikä näkyy siinä, että se käyttää usein italialaista infrastruktuuria komento- ja ohjaustoimintoihin (C2). UNC4990:n erityinen rooli on edelleen epävarma; on epäselvää, helpottaako ryhmä vain muiden toimijoiden pääsyä alkuun. Myös tämän uhkatoimijan perimmäinen tavoite on epäselvä. On kuitenkin tapaus, jossa tutkijat panivat merkille avoimen lähdekoodin kryptovaluuttakaivostyöntekijän käyttöönoton kuukausia kestäneen majakkatoiminnan jälkeen.
Tutkijat olivat aiemmin dokumentoineet kampanjan yksityiskohtia joulukuun 2023 alussa, ja jotkut seurasivat samaa vastustajaa nimellä Nebula Broker.
EMPTYSPACE-latausohjelmaa käyttävä hyökkäysketju
Haittaohjelmatartunta alkaa, kun uhri kaksoisnapsauttaa haitallista LNK-pikakuvaketiedostoa siirrettävällä USB-laitteella. Tämä toiminto käynnistää PowerShell-komentosarjan suorittamisen, joka vastaa EMPTYSPACE:n (tunnetaan myös nimellä BrokerLoader tai Vetta Loader) lataamisesta etäpalvelimelta. Lataus helpottuu Vimeossa isännöidyn PowerShell-välikomentosarjan avulla.
Tutkijat ovat tunnistaneet neljä erillistä EMPTYSPACE-muunnelmaa, jotka on koodattu Golang-, .NET-, Node.js- ja Python-kielillä. Täysin käyttöönoton jälkeen tämä uhka toimii kanavana myöhempien hyötykuormien noutamiseen HTTP:n kautta C2-palvelimelta, mukaan lukien takaovi, jota kutsutaan nimellä QUIETBOARD.
Tämän vaiheen huomionarvoinen puoli on suosittujen verkkosivustojen, kuten Ars Technica, GitHub, GitLab ja Vimeo, käyttö vaarallisen hyötykuorman isännöimiseen. Tutkimustulosten mukaan näissä palveluissa ylläpidettävä sisältö ei aiheuta suoraa riskiä jokapäiväisille käyttäjille, koska eristetty sisältö on täysin hyvänlaatuista. Henkilöt, jotka ovat saaneet tahattomasti olla vuorovaikutuksessa tämän sisällön kanssa tai katsoneet sitä aiemmin, eivät ole vaarassa joutua kompromisseihin.
EMPTYSPACE Downloaderin toimittamat lisäuhat
Sitä vastoin QUIETBOARD on Python-pohjainen takaovi, joka on varustettu monipuolisilla ominaisuuksilla, joiden avulla se voi suorittaa mielivaltaisia komentoja, manipuloida leikepöydälle kopioituja kryptolompakoiden osoitteita varojen siirtojen ohjaamiseksi uhkatoimijoiden hallinnassa oleviin lompakoihin, levittää haittaohjelmia irrotettaville asemille. , ottaa kuvakaappauksia ja kerätä järjestelmätietoja.
Lisäksi tässä takaovessa on modulaarinen laajennusmahdollisuus, mikä mahdollistaa itsenäisten Python-moduuleiden, kuten kolikkokaivosten, suorittamisen. Se voi myös dynaamisesti noutaa ja suorittaa Python-koodia C2-palvelimelta.
EMPTYSPACEn ja QUIETBOARDin analyysi korostaa uhkatoimijoiden modulaarista lähestymistapaa työkalusarjansa kehittämisessä. Useiden ohjelmointikielten käyttö EMPTYSPACE-latausohjelman eri versioiden luomiseen ja URL-osoitteen muuttaminen Vimeo-videon poistamisen yhteydessä osoittavat uhkatoimijoiden halukkuutta kokeilla ja sopeutua.
