EMPTYSPACE Nedlaster
En økonomisk motivert trusselaktør kjent som UNC4990 utnytter bevæpnede USB-enheter for å målrette organisasjoner i Italia som en første smittevektor. Angrepene ser ut til å være rettet mot flere bransjer, inkludert helse, transport, konstruksjon og logistikk. UNC4990-operasjoner involverer generelt utbredt USB-infeksjon etterfulgt av distribusjon av EMPTYSPACE-nedlasteren.
Under disse angrepsoperasjonene er klyngen avhengig av tredjeparts nettsteder som GitHub, Vimeo og andre for å være vert for kodede tilleggsstadier, som den laster ned og dekoder via PowerShell tidlig i utførelseskjeden.
Innholdsfortegnelse
UNC4990 Threat Actors har vært aktive i årevis
UNC4990 har vært aktiv siden slutten av 2020 og antas å operere fra Italia, noe som er tydelig i dens hyppige bruk av italiensk infrastruktur for kommando-og-kontroll (C2) funksjoner. Den spesifikke rollen til UNC4990 er fortsatt usikker; det er uklart om gruppen utelukkende legger til rette for førstegangstilgang for andre aktører. Det endelige målet til denne trusselaktøren er også tvetydig. Det er imidlertid et tilfelle hvor forskere bemerket utplasseringen av en åpen kildekode for kryptovaluta etter måneder med beaconing-aktivitet.
Forskere hadde tidligere dokumentert detaljer om kampanjen tidlig i desember 2023, med noen som sporet den samme motstanderen under navnet Nebula Broker.
Angrepskjeden som bruker EMPTYSPACE Downloader
Skadevareinfeksjonen starter når et offer dobbeltklikker på en ondsinnet LNK-snarveisfil på en flyttbar USB-enhet. Denne handlingen utløser kjøringen av et PowerShell-skript som er ansvarlig for nedlasting av EMPTYSPACE (også kjent som BrokerLoader eller Vetta Loader) fra en ekstern server. Nedlastingen forenkles gjennom et mellomliggende PowerShell-skript som er vert på Vimeo.
Forskere har identifisert fire forskjellige varianter av EMPTYSPACE, kodet i Golang, .NET, Node.js og Python. Når den er fullstendig distribuert, fungerer denne trusselen som en kanal for å hente påfølgende nyttelaster over HTTP fra C2-serveren, inkludert en bakdør referert til som QUIETBOARD.
Et bemerkelsesverdig aspekt ved denne fasen involverer bruken av populære nettsteder som Ars Technica, GitHub, GitLab og Vimeo for å være vert for den usikre nyttelasten. I følge forskningsfunnene utgjør ikke innholdet på disse tjenestene en direkte risiko for vanlige brukere, siden det isolerte innholdet er helt godartet. Enkeltpersoner som kan ha utilsiktet interaksjon med eller sett på dette innholdet tidligere, er ikke i fare for kompromiss.
Ytterligere trusler levert av EMPTYSPACE Downloader
I kontrast er QUIETBOARD en Python-basert bakdør utstyrt med et mangfoldig sett med funksjoner som gjør det mulig å utføre vilkårlige kommandoer, manipulere kryptolommebokadresser kopiert til utklippstavlen for å omdirigere pengeoverføringer til lommebøker under trusselaktørenes kontroll, spre skadevare til flyttbare stasjoner , ta skjermbilder og samle inn systeminformasjon.
Dessuten viser denne bakdøren muligheten for modulær utvidelse, noe som gjør den i stand til å kjøre uavhengige Python-moduler som myntgruvearbeidere. Den kan også dynamisk hente og kjøre Python-kode fra C2-serveren.
Analysen av EMPTYSPACE og QUIETBOARD understreker trusselaktørenes modulære tilnærming i utviklingen av deres verktøysett. Bruken av flere programmeringsspråk for å lage ulike versjoner av EMPTYSPACE-nedlasteren og endringen av URL-en når Vimeo-videoen ble tatt ned viser en forkjærlighet for eksperimentering og tilpasningsevne fra trusselaktørenes side.
