EMPTYSPACE Downloader
Pelakon ancaman bermotivasi kewangan yang dikenali sebagai UNC4990 memanfaatkan peranti USB bersenjata untuk menyasarkan organisasi di Itali sebagai vektor jangkitan awal. Serangan nampaknya disasarkan kepada pelbagai industri, termasuk kesihatan, pengangkutan, pembinaan dan logistik. Operasi UNC4990 biasanya melibatkan jangkitan USB yang meluas diikuti dengan penggunaan pemuat turun EMPTYSPACE.
Semasa operasi serangan ini, kluster bergantung pada tapak web pihak ketiga seperti GitHub, Vimeo dan lain-lain untuk menjadi tuan rumah peringkat tambahan yang dikodkan, yang dimuat turun dan dinyahkod melalui PowerShell pada awal rantaian pelaksanaan.
Isi kandungan
Pelakon Ancaman UNC4990 Telah Aktif Selama Bertahun-tahun
UNC4990 telah aktif sejak akhir 2020 dan dipercayai beroperasi dari Itali, yang terbukti dalam penggunaan infrastruktur Itali yang kerap untuk fungsi arahan dan kawalan (C2). Peranan khusus UNC4990 masih tidak pasti; tidak jelas sama ada kumpulan itu hanya memudahkan akses awal untuk pelakon lain. Objektif utama pelakon ancaman ini juga tidak jelas. Walau bagaimanapun, terdapat satu contoh di mana penyelidik mencatatkan penggunaan pelombong mata wang kripto sumber terbuka berikutan aktiviti penyampaian berbulan-bulan.
Para penyelidik sebelum ini telah mendokumentasikan butiran kempen pada awal Disember 2023, dengan beberapa menjejaki musuh yang sama di bawah nama Nebula Broker.
Rantaian Serangan Menggunakan Pengunduh EMPTYSPACE
Jangkitan perisian hasad bermula apabila mangsa mengklik dua kali pada fail pintasan LNK yang berniat jahat pada peranti USB boleh tanggal. Tindakan ini mencetuskan pelaksanaan skrip PowerShell yang bertanggungjawab untuk memuat turun EMPTYSPACE (juga dikenali sebagai BrokerLoader atau Vetta Loader) daripada pelayan jauh. Muat turun dipermudahkan melalui skrip PowerShell perantaraan yang dihoskan di Vimeo.
Penyelidik telah mengenal pasti empat varian berbeza EMPTYSPACE, berkod dalam Golang, .NET, Node.js dan Python. Setelah digunakan sepenuhnya, ancaman ini berfungsi sebagai saluran untuk mendapatkan semula muatan berikutnya melalui HTTP daripada pelayan C2, termasuk pintu belakang yang dirujuk sebagai PAPAN TAM.
Aspek yang perlu diberi perhatian dalam fasa ini melibatkan penggunaan tapak web popular seperti Ars Technica, GitHub, GitLab dan Vimeo untuk mengehos muatan yang tidak selamat. Menurut penemuan penyelidikan, kandungan yang dihoskan pada perkhidmatan ini tidak menimbulkan risiko langsung kepada pengguna harian, kerana kandungan terpencil adalah jinak sepenuhnya. Individu yang mungkin pernah berinteraksi atau melihat kandungan ini secara tidak sengaja pada masa lalu tidak berisiko untuk berkompromi.
Ancaman Tambahan Dihantar oleh Pemuat Turun EMPTYSPACE
Sebaliknya, QUIETBOARD ialah pintu belakang berasaskan Python yang dilengkapi dengan set pelbagai ciri yang membolehkannya melaksanakan arahan sewenang-wenangnya, memanipulasi alamat dompet crypto yang disalin ke papan keratan untuk mengubah hala pemindahan dana ke dompet di bawah kawalan pelaku ancaman, menyebarkan perisian hasad ke pemacu boleh alih , tangkap tangkapan skrin dan kumpulkan maklumat sistem.
Selain itu, pintu belakang ini mempamerkan keupayaan untuk pengembangan modular, membolehkannya menjalankan modul Python bebas seperti pelombong syiling. Ia juga boleh mengambil dan melaksanakan kod Python secara dinamik daripada pelayan C2.
Analisis EMPTYSPACE dan QUIETBOARD menggariskan pendekatan modular pelaku ancaman dalam membangunkan set alat mereka. Penggunaan berbilang bahasa pengaturcaraan untuk mencipta pelbagai versi pemuat turun EMPTYSPACE dan pengubahan URL apabila video Vimeo diturunkan menunjukkan kecenderungan untuk eksperimen dan kebolehsuaian di pihak pelakon ancaman.
