EMPTYSPACE 다운로더

UNC4990으로 알려진 재정적 동기를 지닌 위협 행위자는 무기화된 USB 장치를 활용하여 이탈리아의 조직을 초기 감염 벡터로 표적으로 삼고 있습니다. 이번 공격은 의료, 운송, 건설, 물류 등 다양한 산업을 표적으로 삼은 것으로 보입니다. UNC4990 작업에는 일반적으로 광범위한 USB 감염과 EMPTYSPACE 다운로더 배포가 포함됩니다.

이러한 공격 작업 중에 클러스터는 GitHub, Vimeo 등과 같은 타사 웹 사이트를 사용하여 실행 체인 초기에 PowerShell을 통해 다운로드하고 디코딩하는 인코딩된 추가 단계를 호스팅합니다.

UNC4990 위협 행위자는 수년간 활동해 왔습니다.

UNC4990은 2020년 말부터 활성화되었으며 이탈리아에서 운영되는 것으로 추정됩니다. 이는 명령 및 제어(C2) 기능을 위해 이탈리아 인프라를 자주 사용한다는 점에서 분명합니다. UNC4990의 구체적인 역할은 여전히 불확실합니다. 그룹이 다른 행위자의 초기 액세스만을 촉진하는지 여부는 불분명합니다. 이 위협 행위자의 궁극적인 목적도 모호합니다. 그러나 연구원들이 몇 달 간의 비커 활동 이후 오픈 소스 암호화폐 채굴기의 배포에 주목한 사례가 있습니다.

연구원들은 이전에 2023년 12월 초에 캠페인의 세부 사항을 문서화했으며 일부는 Nebula Broker라는 이름으로 동일한 적을 추적했습니다.

EMPTYSPACE 다운로더를 사용하는 공격 체인

피해자가 이동식 USB 장치에 있는 악성 LNK 바로가기 파일을 두 번 클릭하면 악성코드 감염이 시작됩니다. 이 작업은 원격 서버에서 EMPTYSPACE(BrokerLoader 또는 Vetta Loader라고도 함) 다운로드를 담당하는 PowerShell 스크립트의 실행을 트리거합니다. Vimeo에서 호스팅되는 중간 PowerShell 스크립트를 통해 다운로드가 용이해집니다.

연구원들은 Golang, .NET, Node.js 및 Python으로 코딩된 EMPTYSPACE의 네 가지 변종을 식별했습니다. 완전히 배포되면 이 위협은 QUIETBOARD라는 백도어를 포함하여 C2 서버에서 HTTP를 통해 후속 페이로드를 검색하기 위한 통로 역할을 합니다.

이 단계에서 주목할 만한 측면은 안전하지 않은 페이로드를 호스팅하기 위해 Ars Technica, GitHub, GitLab 및 Vimeo와 같은 인기 있는 웹사이트를 활용한다는 것입니다. 연구 결과에 따르면 이러한 서비스에 호스팅된 콘텐츠는 격리된 콘텐츠가 전적으로 무해하므로 일반 사용자에게 직접적인 위험을 초래하지 않습니다. 과거에 의도하지 않게 이 콘텐츠와 상호 작용하거나 본 개인은 손상될 위험이 없습니다.

EMPTYSPACE 다운로더가 제공하는 추가 위협

반면, QUIETBOARD는 임의의 명령을 실행하고, 클립보드에 복사된 암호화폐 지갑 주소를 조작하여 위협 행위자가 통제하는 지갑으로 자금 이체를 리디렉션하고, 이동식 드라이브에 악성 코드를 전파할 수 있는 다양한 기능 세트를 갖춘 Python 기반 백도어입니다. , 스크린샷을 캡처하고 시스템 정보를 수집합니다.

또한 이 백도어는 모듈식 확장 기능을 보여주므로 코인 채굴기와 같은 독립적인 Python 모듈을 실행할 수 있습니다. 또한 C2 서버에서 Python 코드를 동적으로 가져와 실행할 수도 있습니다.

EMPTYSPACE 및 QUIETBOARD에 대한 분석은 도구 세트 개발에 있어 위협 행위자의 모듈식 접근 방식을 강조합니다. 다양한 버전의 EMPTYSPACE 다운로더를 생성하기 위해 여러 프로그래밍 언어를 활용하고 Vimeo 비디오가 게시 중단될 때 URL을 변경하는 것은 위협 행위자의 실험 성향과 적응성을 보여줍니다.