EMPTYSPACE Downloader

שחקן איום בעל מוטיבציה כלכלית המכונה UNC4990 ממנף התקני USB עם נשק כדי למקד ארגונים באיטליה בתור וקטור זיהום ראשוני. נראה שההתקפות מכוונות לתעשיות מרובות, כולל בריאות, תחבורה, בנייה ולוגיסטיקה. פעולות UNC4990 כוללות בדרך כלל הדבקה נרחבת ב-USB ואחריה פריסה של הורדת EMPTYSPACE.

במהלך פעולות ההתקפה הללו, האשכול מסתמך על אתרי צד שלישי כגון GitHub, Vimeo ואחרים כדי לארח שלבים מקודדים נוספים, אותם הוא מוריד ומפענח באמצעות PowerShell מוקדם בשרשרת הביצוע.

שחקני האיום של UNC4990 פעילים כבר שנים

UNC4990 פעיל מאז סוף 2020 ומאמינים שהוא פועל מאיטליה, מה שבא לידי ביטוי בשימוש התכוף שלו בתשתית איטלקית לפונקציות פיקוד ושליטה (C2). התפקיד הספציפי של UNC4990 נותר לא ברור; לא ברור אם הקבוצה מקלה אך ורק על גישה ראשונית לשחקנים אחרים. המטרה הסופית של שחקן האיום הזה היא גם לא ברורה. עם זאת, קיים מקרה שבו חוקרים ציינו את הפריסה של כורה מטבעות קריפטוגרפיים בקוד פתוח לאחר חודשים של פעילות משאות.

חוקרים תיעדו בעבר פרטים על הקמפיין בתחילת דצמבר 2023, כאשר חלקם עקבו אחר אותו יריב תחת הכינוי Nebula Broker.

שרשרת ההתקפה באמצעות הורדת EMPTYSPACE

ההדבקה בתוכנה זדונית מתחילה כאשר קורבן לוחץ פעמיים על קובץ קיצור LNK זדוני בהתקן USB נשלף. פעולה זו מפעילה ביצוע של סקריפט PowerShell האחראי על הורדת EMPTYSPACE (הידוע גם בשם BrokerLoader או Vetta Loader) משרת מרוחק. ההורדה מתבצעת באמצעות סקריפט PowerShell ביניים המתארח ב-Vimeo.

חוקרים זיהו ארבע גרסאות שונות של EMPTYSPACE, המקודדות ב-Golang, .NET, Node.js ו-Python. לאחר פריסה מלאה, האיום הזה מתפקד כצינור לאחזור עומסים עוקבים דרך HTTP משרת C2, כולל דלת אחורית המכונה QUIETBOARD.

היבט ראוי לציון של שלב זה כרוך בשימוש באתרים פופולריים כגון Ars Technica, GitHub, GitLab ו-Vimeo לאירוח המטען הלא בטוח. על פי ממצאי המחקר, התוכן המתארח בשירותים אלה אינו מהווה סיכון ישיר למשתמשים רגילים, שכן התוכן המבודד שפיר לחלוטין. אנשים שייתכן שקיימו אינטראקציה לא מכוונת עם תוכן זה או צפו בעבר, אינם בסיכון לפשרה.

איומים נוספים שנמסרו על ידי הורדת EMPTYSPACE

לעומת זאת, QUIETBOARD היא דלת אחורית מבוססת Python המצוידת במערך מגוון של תכונות המאפשרות לה לבצע פקודות שרירותיות, לתפעל כתובות של ארנק קריפטו שהועתקו ללוח לצורך הפניית העברות כספים לארנקים שבשליטת השחקנים האיום, להפיץ תוכנות זדוניות לכוננים נשלפים , צלם צילומי מסך ואסוף מידע מערכת.

יתר על כן, דלת אחורית זו מציגה יכולת הרחבה מודולרית, המאפשרת לה להפעיל מודולי Python עצמאיים כגון כורי מטבעות. זה יכול גם לאחזר ולהפעיל קוד Python באופן דינמי משרת C2.

הניתוח של EMPTYSPACE ו-QUIETBOARD מדגיש את הגישה המודולרית של שחקני האיום בפיתוח ערכת הכלים שלהם. ניצול שפות תכנות מרובות ליצירת גרסאות שונות של הורדת EMPTYSPACE ושינוי כתובת ה-URL בעת הורדת סרטון ה-Vimeo מוכיחים נטייה לניסויים והתאמה מצד גורמי האיום.