EMPTYSPACE letöltő

Az UNC4990 néven ismert, pénzügyileg motivált fenyegetettségi szereplő fegyveres USB-eszközöket használ az olaszországi szervezetek megcélzása érdekében, mint kezdeti fertőzési vektort. Úgy tűnik, hogy a támadások több iparágat is céloznak, beleértve az egészségügyet, a szállítást, az építkezést és a logisztikát. Az UNC4990 műveletei általában kiterjedt USB-fertőzéssel járnak, amelyet az EMPTYSPACE letöltő telepítése követ.

E támadási műveletek során a fürt harmadik felek webhelyeire, például a GitHubra, a Vimeóra és másokra támaszkodik a kódolt további szakaszok tárolására, amelyeket a végrehajtási lánc korai szakaszában a PowerShell segítségével tölt le és dekódol.

Az UNC4990 fenyegető szereplői évek óta aktívak

Az UNC4990 2020 vége óta működik, és vélhetően Olaszországból indul ki, ami jól látható az olasz infrastruktúra gyakori használatában a parancsnoki és irányítási (C2) funkciókhoz. Az UNC4990 konkrét szerepe továbbra is bizonytalan; nem világos, hogy a csoport kizárólag más szereplők kezdeti hozzáférését segíti-e elő. Ennek a fenyegető szereplőnek a végső célja szintén kétértelmű. Van azonban olyan eset, amikor a kutatók felfigyeltek egy nyílt forráskódú kriptovaluta bányász bevezetésére több hónapos beaconing tevékenységet követően.

A kutatók korábban dokumentálták a kampány részleteit 2023 decemberének elején, néhányan ugyanazt az ellenfelet követték nyomon Nebula Broker néven.

Az EMPTYSPACE letöltőt alkalmazó támadási lánc

A rosszindulatú programfertőzés akkor kezdődik, amikor az áldozat duplán kattint egy rosszindulatú LNK parancsikon fájlra egy cserélhető USB-eszközön. Ez a művelet elindítja az EMPTYSPACE (más néven BrokerLoader vagy Vetta Loader) letöltéséért felelős PowerShell-szkriptet egy távoli kiszolgálóról. A letöltést a Vimeo-n tárolt köztes PowerShell-szkript segíti.

A kutatók az EMPTYSPACE négy különböző változatát azonosították, amelyek Golang, .NET, Node.js és Python nyelveken vannak kódolva. A teljes üzembe helyezés után ez a fenyegetés csatornaként működik a további hasznos adatok lekéréséhez HTTP-n keresztül a C2-kiszolgálóról, beleértve a QUIETBOARD-nak nevezett hátsó ajtót is.

Ennek a fázisnak egy figyelemreméltó aspektusa az olyan népszerű webhelyek használata, mint az Ars Technica, a GitHub, a GitLab és a Vimeo a nem biztonságos rakomány tárolására. A kutatási eredmények szerint az ezeken a szolgáltatásokon tárolt tartalom nem jelent közvetlen kockázatot a mindennapi felhasználók számára, mivel az elszigetelt tartalom teljesen jóindulatú. Azokat a személyeket, akik a múltban véletlenül kapcsolatba léptek vagy megtekintették ezt a tartalmat, nem fenyegeti a kompromisszum veszélye.

További veszélyek az EMPTYSPACE Downloader által

Ezzel szemben a QUIETBOARD egy Python-alapú hátsó ajtó, amely sokféle funkcióval rendelkezik, amelyek lehetővé teszik tetszőleges parancsok végrehajtását, a vágólapra másolt kriptotárca-címek manipulálását, hogy a pénzátutalásokat a fenyegető szereplők irányítása alatt álló pénztárcákba irányítsa át, és rosszindulatú programokat terjeszthessen cserélhető meghajtókra. , képernyőképeket készíthet, és rendszerinformációkat gyűjthet.

Ezen túlmenően ez a hátsó ajtó moduláris bővítési képességgel rendelkezik, lehetővé téve független Python-modulok, például érmebányászok futtatását. Dinamikusan képes lekérni és végrehajtani Python kódot a C2 szerverről.

Az EMPTYSPACE és a QUIETBOARD elemzése aláhúzza a fenyegetés szereplőinek moduláris megközelítését eszközkészletük fejlesztése során. A több programozási nyelv használata az EMPTYSPACE letöltő különféle verzióinak létrehozásához, valamint az URL megváltoztatása a Vimeo videó eltávolításakor a fenyegetés szereplőinek kísérletezési hajlandóságát és alkalmazkodóképességét mutatja.