EMPTYSPACE Downloader
Financijski motivirani akter prijetnje poznat kao UNC4990 koristi USB uređaje s oružjem za ciljanje organizacija u Italiji kao početni vektor infekcije. Čini se da su napadi usmjereni na više industrija, uključujući zdravstvo, transport, građevinarstvo i logistiku. Operacije UNC4990 općenito uključuju raširenu USB infekciju nakon koje slijedi implementacija programa za preuzimanje EMPTYSPACE.
Tijekom ovih operacija napada, klaster se oslanja na web stranice trećih strana kao što su GitHub, Vimeo i drugi za smještaj kodiranih dodatnih faza, koje preuzima i dekodira putem PowerShell-a rano u lancu izvršenja.
Sadržaj
Akteri UNC4990 prijetnji aktivni su godinama
UNC4990 je aktivan od kraja 2020. i vjeruje se da djeluje iz Italije, što je vidljivo u njegovoj čestoj upotrebi talijanske infrastrukture za funkcije zapovijedanja i kontrole (C2). Specifična uloga UNC4990 ostaje neizvjesna; nije jasno olakšava li grupa samo početni pristup drugim akterima. Konačni cilj ovog aktera prijetnje također je dvosmislen. Međutim, postoji primjer u kojem su istraživači primijetili implementaciju rudara kriptovalute otvorenog koda nakon mjeseci aktivnosti praćenja.
Istraživači su prethodno dokumentirali detalje kampanje početkom prosinca 2023., a neki su pratili istog protivnika pod nadimkom Nebula Broker.
Lanac napada koji koristi EMPTYSPACE Downloader
Infekcija zlonamjernim softverom započinje kada žrtva dvaput klikne na datoteku zlonamjernog LNK prečaca na prijenosnom USB uređaju. Ova radnja pokreće izvršavanje PowerShell skripte odgovorne za preuzimanje EMPTYSPACE (također poznatog kao BrokerLoader ili Vetta Loader) s udaljenog poslužitelja. Preuzimanje je olakšano posrednom PowerShell skriptom koja se nalazi na Vimeu.
Istraživači su identificirali četiri različite varijante EMPTYSPACE-a, kodirane u Golangu, .NET-u, Node.js-u i Pythonu. Nakon što je u potpunosti implementirana, ova prijetnja funkcionira kao kanal za dohvaćanje naknadnih korisnih podataka preko HTTP-a s C2 poslužitelja, uključujući stražnja vrata koja se nazivaju QUIETBOARD.
Značajan aspekt ove faze uključuje korištenje popularnih web stranica kao što su Ars Technica, GitHub, GitLab i Vimeo za smještaj nesigurnog sadržaja. Prema nalazima istraživanja, sadržaj koji se nalazi na ovim servisima ne predstavlja izravnu opasnost za svakodnevne korisnike, jer je izolirani sadržaj potpuno benigan. Pojedinci koji su možda nenamjerno stupali u interakciju s ovim sadržajem ili ga gledali u prošlosti nisu u opasnosti od ugrožavanja.
Dodatne prijetnje koje isporučuje EMPTYSPACE Downloader
Nasuprot tome, QUIETBOARD je backdoor temeljen na Pythonu opremljen raznolikim skupom značajki koje mu omogućuju izvršavanje proizvoljnih naredbi, manipuliranje adresama kripto novčanika kopiranih u međuspremnik za preusmjeravanje prijenosa sredstava u novčanike pod kontrolom aktera prijetnje, širenje zlonamjernog softvera na prijenosne pogone , snimati snimke zaslona i prikupljati podatke o sustavu.
Štoviše, ovaj backdoor pokazuje mogućnost modularnog proširenja, što mu omogućuje pokretanje neovisnih Python modula kao što su rudari novčića. Također može dinamički dohvatiti i izvršiti Python kod s C2 poslužitelja.
Analiza EMPTYSPACE-a i QUIETBOARD-a naglašava modularni pristup aktera prijetnji u razvoju njihovog skupa alata. Korištenje višestrukih programskih jezika za stvaranje različitih verzija programa za preuzimanje EMPTYSPACE i izmjena URL-a kada je video s Vimea skinut pokazuju sklonost eksperimentiranju i prilagodljivost dionika prijetnje.
