EMPTYSPACE Downloader

UNC4990 के नाम से जाना जाने वाला एक वित्तीय रूप से प्रेरित खतरा अभिनेता प्रारंभिक संक्रमण वेक्टर के रूप में इटली में संगठनों को लक्षित करने के लिए हथियारयुक्त यूएसबी उपकरणों का लाभ उठा रहा है। ऐसा प्रतीत होता है कि हमले स्वास्थ्य, परिवहन, निर्माण और रसद सहित कई उद्योगों को लक्षित करके किए गए हैं। UNC4990 संचालन में आम तौर पर व्यापक USB संक्रमण शामिल होता है जिसके बाद EMPTYSPACE डाउनलोडर की तैनाती होती है।

इन हमले के संचालन के दौरान, क्लस्टर एन्कोडेड अतिरिक्त चरणों को होस्ट करने के लिए GitHub, Vimeo और अन्य जैसी तृतीय-पक्ष वेबसाइटों पर निर्भर करता है, जिसे वह निष्पादन श्रृंखला के आरंभ में PowerShell के माध्यम से डाउनलोड और डिकोड करता है।

UNC4990 ख़तरनाक अभिनेता वर्षों से सक्रिय हैं

UNC4990 2020 के अंत से सक्रिय है और माना जाता है कि यह इटली से संचालित होता है, जो कमांड-एंड-कंट्रोल (C2) कार्यों के लिए इतालवी बुनियादी ढांचे के लगातार उपयोग से स्पष्ट है। UNC4990 की विशिष्ट भूमिका अनिश्चित बनी हुई है; यह स्पष्ट नहीं है कि क्या समूह केवल अन्य अभिनेताओं के लिए प्रारंभिक पहुंच की सुविधा प्रदान करता है। इस धमकी देने वाले अभिनेता का अंतिम उद्देश्य भी अस्पष्ट है। हालाँकि, एक उदाहरण है जहां शोधकर्ताओं ने महीनों की बीकनिंग गतिविधि के बाद एक ओपन-सोर्स क्रिप्टोकरेंसी माइनर की तैनाती पर ध्यान दिया।

शोधकर्ताओं ने पहले दिसंबर 2023 की शुरुआत में अभियान के विवरण का दस्तावेजीकरण किया था, जिसमें कुछ ने नेबुला ब्रोकर उपनाम के तहत उसी प्रतिद्वंद्वी पर नज़र रखी थी।

अटैक चेन EMPTYSPACE डाउनलोडर को नियोजित कर रही है

मैलवेयर संक्रमण तब शुरू होता है जब कोई पीड़ित हटाने योग्य यूएसबी डिवाइस पर दुर्भावनापूर्ण एलएनके शॉर्टकट फ़ाइल पर डबल-क्लिक करता है। यह क्रिया एक दूरस्थ सर्वर से EMPTYSPACE (जिसे ब्रोकरलोडर या वेट्टा लोडर के रूप में भी जाना जाता है) डाउनलोड करने के लिए जिम्मेदार पावरशेल स्क्रिप्ट के निष्पादन को ट्रिगर करती है। डाउनलोड की सुविधा Vimeo पर होस्ट की गई एक मध्यवर्ती पावरशेल स्क्रिप्ट के माध्यम से की जाती है।

शोधकर्ताओं ने EMPTYSPACE के चार अलग-अलग वेरिएंट की पहचान की है, जो गोलांग, .NET, Node.js और Python में कोडित हैं। एक बार पूरी तरह से तैनात होने के बाद, यह खतरा C2 सर्वर से HTTP पर बाद के पेलोड को पुनर्प्राप्त करने के लिए एक नाली के रूप में कार्य करता है, जिसमें QUIETBOARD नामक एक पिछला दरवाजा भी शामिल है।

इस चरण के एक उल्लेखनीय पहलू में असुरक्षित पेलोड की मेजबानी के लिए Ars Technica, GitHub, GitLab और Vimeo जैसी लोकप्रिय वेबसाइटों का उपयोग शामिल है। शोध के निष्कर्षों के अनुसार, इन सेवाओं पर होस्ट की गई सामग्री रोजमर्रा के उपयोगकर्ताओं के लिए सीधा जोखिम पैदा नहीं करती है, क्योंकि पृथक सामग्री पूरी तरह से सौम्य है। जिन व्यक्तियों ने अतीत में अनजाने में इस सामग्री के साथ बातचीत की है या देखी है, उन्हें समझौते का जोखिम नहीं है।

EMPTYSPACE डाउनलोडर द्वारा दिए गए अतिरिक्त खतरे

इसके विपरीत, QUIETBOARD एक पायथन-आधारित बैकडोर है जो विविध सुविधाओं से सुसज्जित है जो इसे मनमाने आदेशों को निष्पादित करने में सक्षम बनाता है, खतरे वाले अभिनेताओं के नियंत्रण के तहत वॉलेट में फंड ट्रांसफर को पुनर्निर्देशित करने के लिए क्लिपबोर्ड पर कॉपी किए गए क्रिप्टो वॉलेट पते में हेरफेर करता है, हटाने योग्य ड्राइव में मैलवेयर फैलाता है। , स्क्रीनशॉट कैप्चर करें, और सिस्टम जानकारी एकत्र करें।

इसके अलावा, यह पिछला दरवाजा मॉड्यूलर विस्तार की क्षमता प्रदर्शित करता है, जो इसे सिक्का खनिकों जैसे स्वतंत्र पायथन मॉड्यूल चलाने में सक्षम बनाता है। यह C2 सर्वर से पायथन कोड को गतिशील रूप से ला और निष्पादित भी कर सकता है।

EMPTYSPACE और QUIETBOARD का विश्लेषण उनके टूलसेट को विकसित करने में खतरे वाले अभिनेताओं के मॉड्यूलर दृष्टिकोण को रेखांकित करता है। EMPTYSPACE डाउनलोडर के विभिन्न संस्करण बनाने के लिए कई प्रोग्रामिंग भाषाओं का उपयोग और Vimeo वीडियो को हटा दिए जाने पर URL में परिवर्तन, खतरे वाले अभिनेताओं की ओर से प्रयोग और अनुकूलनशीलता के प्रति रुचि प्रदर्शित करता है।