EMPTYSPACE lejupielādētājs
Finansiāli motivēts draudu dalībnieks, kas pazīstams kā UNC4990, izmanto bruņotas USB ierīces, lai mērķētu organizācijas Itālijā kā sākotnējais infekcijas pārnēsātājs. Šķiet, ka uzbrukumi ir vērsti pret vairākām nozarēm, tostarp veselību, transportu, būvniecību un loģistiku. UNC4990 operācijas parasti ietver plaši izplatītu USB infekciju, kam seko EMPTYSPACE lejupielādētāja izvietošana.
Šo uzbrukuma darbību laikā klasteris paļaujas uz trešo pušu vietnēm, piemēram, GitHub, Vimeo un citām, lai mitinātu kodētus papildu posmus, kurus tas lejupielādē un atkodē, izmantojot PowerShell izpildes ķēdes sākumā.
Satura rādītājs
UNC4990 draudu aktieri ir bijuši aktīvi jau gadiem
UNC4990 ir bijis aktīvs kopš 2020. gada beigām, un tiek uzskatīts, ka tas darbojas no Itālijas, kas ir acīmredzams tajā, ka tā bieži izmanto Itālijas infrastruktūru komandu un kontroles (C2) funkcijām. UNC4990 īpašā loma joprojām ir neskaidra; nav skaidrs, vai grupa tikai atvieglo sākotnējo piekļuvi citiem dalībniekiem. Arī šī apdraudējuma dalībnieka galīgais mērķis ir neskaidrs. Tomēr ir gadījums, kad pētnieki atzīmēja atvērtā pirmkoda kriptovalūtas kalnraču izvietošanu pēc mēnešiem ilgas bākas darbības.
Pētnieki iepriekš bija dokumentējuši kampaņas detaļas 2023. gada decembra sākumā, daži izsekoja to pašu pretinieku ar nosaukumu Nebula Broker.
Uzbrukuma ķēde, kurā tiek izmantots EMPTYSPACE lejupielādētājs
Ļaunprātīgas programmatūras infekcija sākas, kad upuris veic dubultklikšķi uz ļaunprātīga LNK saīsnes faila noņemamā USB ierīcē. Šī darbība aktivizē PowerShell skripta izpildi, kas ir atbildīgs par EMPTYSPACE (pazīstams arī kā BrokerLoader vai Vetta Loader) lejupielādi no attālā servera. Lejupielāde tiek atvieglota, izmantojot starpposma PowerShell skriptu, kas tiek mitināts vietnē Vimeo.
Pētnieki ir identificējuši četrus atšķirīgus EMPTYSPACE variantus, kas kodēti Golang, .NET, Node.js un Python. Kad šie draudi ir pilnībā izvietoti, tie darbojas kā kanāls turpmāko lietderīgo slodžu izgūšanai, izmantojot HTTP, no C2 servera, tostarp aizmugures durvīm, ko dēvē par QUIETBOARD.
Ievērības cienīgs šī posma aspekts ir populāru vietņu, piemēram, Ars Technica, GitHub, GitLab un Vimeo, izmantošana nedrošas kravas mitināšanai. Saskaņā ar pētījuma rezultātiem šajos pakalpojumos mitinātais saturs nerada tiešu risku ikdienas lietotājiem, jo izolētais saturs ir pilnībā labdabīgs. Personas, kuras, iespējams, iepriekš nejauši ir mijiedarbojušās ar šo saturu vai skatījušas šo saturu, nav pakļautas kompromisa riskam.
Papildu draudi, ko nodrošina EMPTYSPACE Downloader
Turpretim QUIETBOARD ir uz Python balstītas aizmugures durvis, kas aprīkotas ar daudzveidīgu funkciju kopumu, kas ļauj tai izpildīt patvaļīgas komandas, manipulēt ar starpliktuvē kopētām kriptovalūtu maka adresēm, lai novirzītu līdzekļu pārskaitījumus uz makiem, ko kontrolē apdraudējuma dalībnieki, izplatīt ļaunprātīgu programmatūru noņemamajos diskos. , tveriet ekrānuzņēmumus un apkopojiet sistēmas informāciju.
Turklāt šīs aizmugures durvis demonstrē modulāras paplašināšanas iespējas, ļaujot tai darbināt neatkarīgus Python moduļus, piemēram, monētu kalnračus. Tas var arī dinamiski ienest un izpildīt Python kodu no C2 servera.
EMPTYSPACE un QUIETBOARD analīze uzsver apdraudējuma dalībnieku modulāro pieeju, izstrādājot savu rīku komplektu. Vairāku programmēšanas valodu izmantošana, lai izveidotu dažādas EMPTYSPACE lejupielādētāja versijas, un vietrāža URL maiņa, kad tika noņemts Vimeo videoklips, liecina par draudu dalībnieku vēlmi eksperimentēt un pielāgoties.
