EMPTYSPACE Downloader
Finansiškai motyvuotas grėsmės veikėjas, žinomas kaip UNC4990, naudoja ginkluotus USB įrenginius, siekdamas nukreipti organizacijas Italijoje kaip pradinį infekcijos sukėlėją. Panašu, kad atakos buvo skirtos kelioms pramonės šakoms, įskaitant sveikatos apsaugą, transportavimą, statybas ir logistiką. UNC4990 operacijos paprastai apima plačiai paplitusią USB infekciją, po kurios įdiegiamas EMPTYSPACE atsisiuntimo programa.
Vykdant šias atakų operacijas, klasteris remiasi trečiųjų šalių svetainėmis, tokiomis kaip „GitHub“, „Vimeo“ ir kt., kad priglobtų užkoduotus papildomus etapus, kuriuos jis atsisiunčia ir iššifruoja per „PowerShell“ vykdymo grandinės pradžioje.
Turinys
UNC4990 grėsmės aktoriai buvo aktyvūs daugelį metų
UNC4990 veikia nuo 2020 m. pabaigos ir, kaip manoma, veikia iš Italijos, o tai akivaizdu, dažnai naudojant Italijos infrastruktūrą komandų ir valdymo (C2) funkcijoms atlikti. Konkretus UNC4990 vaidmuo lieka neaiškus; neaišku, ar grupė tik palengvina pradinę prieigą kitiems veikėjams. Galutinis šio grėsmės veikėjo tikslas taip pat yra dviprasmiškas. Tačiau yra atvejis, kai mokslininkai pastebėjo atvirojo kodo kriptovaliutų kasyklų diegimą po kelių mėnesių veiklos.
Tyrėjai anksčiau dokumentavo kampanijos detales 2023 m. gruodžio pradžioje, kai kurie stebėjo tą patį priešininką, pasivadinęs ūko brokeriu.
Atakos grandinė, naudojanti EMPTYSPACE atsisiuntimo programą
Kenkėjiškų programų infekcija prasideda, kai auka du kartus spusteli kenkėjišką LNK nuorodos failą išimamame USB įrenginyje. Šis veiksmas suaktyvina PowerShell scenarijaus, atsakingo už EMPTYSPACE (taip pat žinomo kaip BrokerLoader arba Vetta Loader) atsisiuntimą iš nuotolinio serverio, vykdymą. Atsisiuntimas palengvinamas naudojant tarpinį „PowerShell“ scenarijų, priglobtą „Vimeo“.
Tyrėjai nustatė keturis skirtingus EMPTYSPACE variantus, užkoduotus Golang, .NET, Node.js ir Python. Visiškai įdiegta ši grėsmė veikia kaip kanalas, leidžiantis nuskaityti paskesnes naudingas apkrovas per HTTP iš C2 serverio, įskaitant galines duris, vadinamas QUIETBOARD.
Pažymėtinas šio etapo aspektas yra populiarių svetainių, tokių kaip „Ars Technica“, „GitHub“, „GitLab“ ir „Vimeo“, naudojimas nesaugiam kroviniui priglobti. Remiantis tyrimo išvadomis, šiose paslaugose talpinamas turinys nekelia tiesioginio pavojaus kasdieniams vartotojams, nes izoliuotas turinys yra visiškai nekenksmingas. Asmenims, kurie anksčiau netyčia bendravo ar žiūrėjo šį turinį, nekyla pavojus patekti į kompromisą.
Papildomos grėsmės, kurias kelia EMPTYSPACE Downloader
Priešingai, „QUIETBOARD“ yra „Python“ pagrįstos užpakalinės durys, aprūpintos įvairiomis funkcijomis, leidžiančiomis vykdyti savavališkas komandas, manipuliuoti kriptovaliutų piniginės adresais, nukopijuotais į mainų sritį, kad būtų nukreipti lėšų pervedimai į pinigines, kurias kontroliuoja grėsmės veikėjai, platinti kenkėjiškas programas į išimamus diskus. , fiksuoti ekrano kopijas ir rinkti sistemos informaciją.
Be to, šios užpakalinės durys pasižymi modulinio išplėtimo galimybėmis, leidžiančiomis paleisti nepriklausomus Python modulius, tokius kaip monetų kasyklos. Jis taip pat gali dinamiškai gauti ir vykdyti Python kodą iš C2 serverio.
EMPTYSPACE ir QUIETBOARD analizė pabrėžia modulinį grėsmės veikėjų požiūrį kuriant savo įrankių rinkinį. Kelių programavimo kalbų naudojimas kuriant įvairias EMPTYSPACE atsisiuntimo programos versijas ir URL pakeitimas pašalinus Vimeo vaizdo įrašą rodo grėsmės veikėjų polinkį eksperimentuoti ir prisitaikyti.
