EMPTYSPACE Downloader
Un attore di minacce motivato finanziariamente noto come UNC4990 sta sfruttando i dispositivi USB come armi per prendere di mira le organizzazioni in Italia come vettore iniziale di infezione. Gli attacchi sembrano essere mirati a diversi settori, tra cui sanità, trasporti, edilizia e logistica. Le operazioni UNC4990 generalmente comportano un'infezione USB diffusa seguita dall'implementazione del downloader EMPTYSPACE.
Durante queste operazioni di attacco, il cluster si affida a siti Web di terze parti come GitHub, Vimeo e altri per ospitare fasi aggiuntive codificate, che scarica e decodifica tramite PowerShell nelle prime fasi della catena di esecuzione.
Sommario
Gli autori delle minacce UNC4990 sono attivi da anni
L’UNC4990 è attivo dalla fine del 2020 e si ritiene che operi dall’Italia, il che è evidente nel suo uso frequente delle infrastrutture italiane per funzioni di comando e controllo (C2). Il ruolo specifico di UNC4990 rimane incerto; non è chiaro se il gruppo faciliti esclusivamente l’accesso iniziale per altri attori. Anche l’obiettivo finale di questo attore della minaccia è ambiguo. Tuttavia, c'è un caso in cui i ricercatori hanno notato l'implementazione di un minatore di criptovaluta open source dopo mesi di attività di beaconing.
I ricercatori avevano precedentemente documentato i dettagli della campagna all’inizio di dicembre 2023, con alcuni che monitoravano lo stesso avversario con il soprannome di Nebula Broker.
La catena di attacco che utilizza il downloader EMPTYSPACE
L'infezione da malware inizia quando una vittima fa doppio clic su un file di collegamento LNK dannoso su un dispositivo USB rimovibile. Questa azione attiva l'esecuzione di uno script PowerShell responsabile del download di EMPTYSPACE (noto anche come BrokerLoader o Vetta Loader) da un server remoto. Il download è facilitato tramite uno script PowerShell intermedio ospitato su Vimeo.
I ricercatori hanno identificato quattro varianti distinte di EMPTYSPACE, codificate in Golang, .NET, Node.js e Python. Una volta completamente distribuita, questa minaccia funziona come un canale per recuperare i successivi payload su HTTP dal server C2, inclusa una backdoor denominata QUIETBOARD.
Un aspetto degno di nota di questa fase prevede l'utilizzo di siti Web popolari come Ars Technica, GitHub, GitLab e Vimeo per ospitare il payload non sicuro. Secondo i risultati della ricerca, il contenuto ospitato su questi servizi non rappresenta un rischio diretto per gli utenti comuni, poiché il contenuto isolato è del tutto innocuo. Gli individui che potrebbero aver involontariamente interagito o visualizzato questo contenuto in passato non corrono il rischio di compromissione.
Ulteriori minacce fornite da EMPTYSPACE Downloader
Al contrario, QUIETBOARD è una backdoor basata su Python dotata di una serie diversificata di funzionalità che le consentono di eseguire comandi arbitrari, manipolare gli indirizzi dei portafogli crittografici copiati negli appunti per reindirizzare i trasferimenti di fondi ai portafogli sotto il controllo degli autori delle minacce, propagare malware su unità rimovibili , acquisire schermate e raccogliere informazioni di sistema.
Inoltre, questa backdoor mostra la capacità di espansione modulare, consentendole di eseguire moduli Python indipendenti come i minatori di monete. Può anche recuperare ed eseguire dinamicamente il codice Python dal server C2.
L'analisi di EMPTYSPACE e QUIETBOARD sottolinea l'approccio modulare degli autori delle minacce nello sviluppo del loro set di strumenti. L'utilizzo di più linguaggi di programmazione per creare varie versioni del downloader EMPTYSPACE e l'alterazione dell'URL quando il video Vimeo è stato rimosso dimostrano una propensione alla sperimentazione e all'adattabilità da parte degli autori delle minacce.
