កម្មវិធីទាញយក EMPTYSPACE
តួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុដែលគេស្គាល់ថា UNC4990 កំពុងប្រើប្រាស់ឧបករណ៍ USB ដែលមានអាវុធ ទៅកាន់អង្គការនានាក្នុងប្រទេសអ៊ីតាលី ដែលជាវ៉ិចទ័រឆ្លងដំបូង។ ការវាយប្រហារនេះទំនងជាមានគោលដៅលើឧស្សាហកម្មជាច្រើនរួមមានវិស័យសុខាភិបាល ដឹកជញ្ជូន សំណង់ និងភស្តុភារ។ ប្រតិបត្តិការ UNC4990 ជាទូទៅពាក់ព័ន្ធនឹងការឆ្លងមេរោគ USB ដែលរីករាលដាល បន្តដោយការដាក់ពង្រាយកម្មវិធីទាញយក EMPTYSPACE ។
ក្នុងអំឡុងពេលប្រតិបត្តិការវាយប្រហារទាំងនេះ ចង្កោមពឹងផ្អែកលើគេហទំព័រភាគីទីបីដូចជា GitHub, Vimeo និងផ្សេងទៀតដើម្បីធ្វើជាម្ចាស់ផ្ទះដំណាក់កាលបន្ថែមដែលបានអ៊ិនកូដ ដែលវាទាញយក និងឌិកូដតាមរយៈ PowerShell នៅដើមដំបូងនៃខ្សែសង្វាក់ប្រតិបត្តិ។
តារាងមាតិកា
តួអង្គគំរាមកំហែង UNC4990 បានធ្វើសកម្មភាពអស់ជាច្រើនឆ្នាំ
UNC4990 មានសកម្មភាពតាំងពីចុងឆ្នាំ 2020 ហើយត្រូវបានគេជឿថាដំណើរការពីប្រទេសអ៊ីតាលី ដែលជាភស្តុតាងនៅក្នុងការប្រើប្រាស់ជាញឹកញាប់នៃហេដ្ឋារចនាសម្ព័ន្ធអ៊ីតាលីសម្រាប់មុខងារបញ្ជា និងបញ្ជា (C2) ។ តួនាទីជាក់លាក់របស់ UNC4990 នៅតែមិនច្បាស់លាស់។ វាមិនច្បាស់ទេថាតើក្រុមនេះជួយសម្រួលដល់ការចូលដំណើរការដំបូងសម្រាប់តួអង្គផ្សេងទៀតឬអត់។ គោលបំណងចុងក្រោយរបស់អ្នកគំរាមកំហែងនេះក៏មិនច្បាស់លាស់ដែរ។ ទោះយ៉ាងណាក៏ដោយ មានករណីមួយដែលអ្នកស្រាវជ្រាវបានកត់សម្គាល់ពីការដាក់ពង្រាយអ្នករុករករូបិយបណ្ណគ្រីបតូកូដចំហរមួយបន្ទាប់ពីមានសកម្មភាពជាច្រើនខែ។
អ្នកស្រាវជ្រាវពីមុនបានចងក្រងឯកសារលម្អិតនៃយុទ្ធនាការនេះនៅដើមខែធ្នូ ឆ្នាំ 2023 ដោយខ្លះបានតាមដានសត្រូវដូចគ្នានៅក្រោម moniker Nebula Broker ។
ខ្សែសង្វាក់វាយប្រហារដែលប្រើកម្មវិធីទាញយក EMPTYSPACE
ការឆ្លងមេរោគចាប់ផ្តើមនៅពេលដែលជនរងគ្រោះចុចពីរដងលើឯកសារផ្លូវកាត់ LNK ដែលមានគំនិតអាក្រក់នៅលើឧបករណ៍ USB ដែលអាចដកចេញបាន។ សកម្មភាពនេះបង្កឱ្យមានការប្រតិបត្តិនៃស្គ្រីប PowerShell ដែលទទួលខុសត្រូវក្នុងការទាញយក EMPTYSPACE (ត្រូវបានគេស្គាល់ផងដែរថាជា BrokerLoader ឬ Vetta Loader) ពីម៉ាស៊ីនមេពីចម្ងាយ។ ការទាញយកត្រូវបានសម្របសម្រួលតាមរយៈស្គ្រីប PowerShell កម្រិតមធ្យមដែលបង្ហោះនៅលើ Vimeo ។
អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណប្រភេទផ្សេងគ្នាចំនួនបួននៃ EMPTYSPACE ដែលសរសេរកូដជា Golang, .NET, Node.js និង Python ។ នៅពេលដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់ពេញលេញ ការគំរាមកំហែងនេះមានមុខងារជាបំពង់សម្រាប់ទាញយកបន្ទុកជាបន្តបន្ទាប់លើ HTTP ពីម៉ាស៊ីនមេ C2 រួមទាំង backdoor ហៅថា QUIETBOARD ។
ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃដំណាក់កាលនេះពាក់ព័ន្ធនឹងការប្រើប្រាស់គេហទំព័រដ៏ពេញនិយមដូចជា Ars Technica, GitHub, GitLab និង Vimeo សម្រាប់ការបង្ហោះការបង់ប្រាក់ដែលមិនមានសុវត្ថិភាព។ យោងតាមការស្រាវជ្រាវ ខ្លឹមសារដែលបានបង្ហោះនៅលើសេវាកម្មទាំងនេះមិនបង្កហានិភ័យផ្ទាល់ដល់អ្នកប្រើប្រាស់ប្រចាំថ្ងៃទេ ដោយសារខ្លឹមសារដាច់ដោយឡែកគឺមានលក្ខណៈស្លូតបូតទាំងស្រុង។ បុគ្គលដែលអាចមានអន្តរកម្មដោយអចេតនាជាមួយ ឬមើលខ្លឹមសារនេះកាលពីអតីតកាលមិនមានហានិភ័យនៃការសម្រុះសម្រួលទេ។
ការគំរាមកំហែងបន្ថែមដែលផ្តល់ដោយកម្មវិធីទាញយក EMPTYSPACE
ផ្ទុយទៅវិញ QUIETBOARD គឺជា backdoor ដែលមានមូលដ្ឋានលើ Python បំពាក់ដោយសំណុំមុខងារចម្រុះដែលអនុញ្ញាតឱ្យវាប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត រៀបចំអាសយដ្ឋាន crypto wallet ដែលបានចម្លងទៅក្ដារតម្បៀតខ្ទាស់សម្រាប់បញ្ជូនបន្តការផ្ទេរមូលនិធិទៅកាបូបដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់តួអង្គគំរាមកំហែង ផ្សព្វផ្សាយមេរោគទៅកាន់ drives ដែលអាចដកចេញបាន។ ចាប់យករូបថតអេក្រង់ និងប្រមូលព័ត៌មានប្រព័ន្ធ។
លើសពីនេះទៅទៀត backdoor នេះបង្ហាញពីសមត្ថភាពសម្រាប់ការពង្រីកម៉ូឌុលដែលធ្វើឱ្យវាដំណើរការម៉ូឌុល Python ឯករាជ្យដូចជាអ្នកជីកយកកាក់។ វាក៏អាចទាញយក និងប្រតិបត្តិកូដ Python ពីម៉ាស៊ីនមេ C2 ផងដែរ។
ការវិភាគនៃ EMPTYSPACE និង QUIETBOARD គូសបញ្ជាក់អំពីវិធីសាស្រ្តម៉ូឌុលរបស់តួអង្គគំរាមកំហែងក្នុងការអភិវឌ្ឍន៍ឧបករណ៍របស់ពួកគេ។ ការប្រើប្រាស់ភាសាសរសេរកម្មវិធីច្រើនដើម្បីបង្កើតកំណែផ្សេងៗនៃកម្មវិធីទាញយក EMPTYSPACE និងការកែប្រែ URL នៅពេលដែលវីដេអូ Vimeo ត្រូវបានដកចេញ បង្ហាញពីការចាប់អារម្មណ៍សម្រាប់ការពិសោធន៍ និងការសម្របខ្លួនលើផ្នែកនៃអ្នកគំរាមកំហែង។