EMPTYSPACE डाउनलोडर
UNC4990 को रूपमा चिनिने आर्थिक रूपमा उत्प्रेरित खतरा अभिनेताले इटालीका संस्थाहरूलाई प्रारम्भिक संक्रमण भेक्टरको रूपमा लक्षित गर्न हतियारयुक्त USB उपकरणहरू प्रयोग गरिरहेको छ। आक्रमणहरू स्वास्थ्य, यातायात, निर्माण, र रसद सहित धेरै उद्योगहरूमा लक्षित गरिएको देखिन्छ। UNC4990 अपरेसनहरूमा सामान्यतया EMPTYSPACE डाउनलोडरको तैनाती पछि व्यापक USB संक्रमण समावेश हुन्छ।
यी आक्रमण सञ्चालनका क्रममा, क्लस्टरले इन्कोड गरिएका अतिरिक्त चरणहरू होस्ट गर्न तेस्रो-पक्ष वेबसाइटहरू जस्तै GitHub, Vimeo, र अन्यहरूमा निर्भर गर्दछ, जुन यसले कार्यान्वयन श्रृंखलाको प्रारम्भमा PowerShell मार्फत डाउनलोड र डिकोड गर्दछ।
सामग्रीको तालिका
UNC4990 थ्रेट अभिनेताहरू वर्षौंदेखि सक्रिय छन्
UNC4990 2020 को अन्त देखि सक्रिय छ र इटाली बाट सञ्चालन गर्ने विश्वास गरिन्छ, जुन कमाण्ड-एन्ड-कन्ट्रोल (C2) कार्यहरूको लागि इटालियन पूर्वाधारको बारम्बार प्रयोगमा स्पष्ट छ। UNC4990 को विशिष्ट भूमिका अनिश्चित रहन्छ; यो अस्पष्ट छ कि समूहले मात्र अन्य अभिनेताहरूको लागि प्रारम्भिक पहुँचको सुविधा दिन्छ। यस धम्की अभिनेताको अन्तिम उद्देश्य पनि अस्पष्ट छ। यद्यपि, त्यहाँ एक उदाहरण छ जहाँ अनुसन्धानकर्ताहरूले खुला स्रोत क्रिप्टोकरेन्सी माइनरको महिनौंको बीकनिंग गतिविधि पछिको तैनातीलाई नोट गरे।
अन्वेषकहरूले यसअघि डिसेम्बर २०२३ को सुरुमा अभियानको विवरणहरू दस्तावेज गरेका थिए, केहीले उही विरोधीलाई मोनिकर नेबुला ब्रोकर अन्तर्गत ट्र्याक गर्दै।
EMPTYSPACE डाउनलोडरलाई रोजगार दिने आक्रमण चेन
मालवेयर संक्रमण सुरु हुन्छ जब पीडितले हटाउन सकिने USB यन्त्रमा खराब LNK सर्टकट फाइलमा डबल-क्लिक गर्दछ। यस कार्यले रिमोट सर्भरबाट EMPTYSPACE (ब्रोकरलोडर वा भेट्टा लोडर पनि भनिन्छ) डाउनलोड गर्न जिम्मेवार PowerShell स्क्रिप्टको कार्यान्वयनलाई ट्रिगर गर्दछ। डाउनलोडलाई Vimeo मा होस्ट गरिएको मध्यवर्ती PowerShell स्क्रिप्ट मार्फत सुविधा दिइएको छ।
अन्वेषकहरूले गोलाङ्ग, .NET, Node.js, र Python मा कोड गरिएको EMPTYSPACE को चार भिन्न भिन्नताहरू पहिचान गरेका छन्। एक पटक पूर्ण रूपमा तैनात भएपछि, यो खतराले C2 सर्भरबाट HTTP मार्फत पछिको पेलोडहरू पुन: प्राप्त गर्न कन्ड्युटको रूपमा कार्य गर्दछ, QUIETBOARD भनिने ब्याकडोर सहित।
यस चरणको एक उल्लेखनीय पक्षमा असुरक्षित पेलोड होस्टिंगको लागि लोकप्रिय वेबसाइटहरू जस्तै Ars Technica, GitHub, GitLab, र Vimeo को उपयोग समावेश छ। अनुसन्धानको निष्कर्षका अनुसार, यी सेवाहरूमा होस्ट गरिएको सामग्रीले दैनिक प्रयोगकर्ताहरूलाई प्रत्यक्ष जोखिममा पार्दैन, किनकि पृथक सामग्री पूर्ण रूपमा सौम्य छ। विगतमा यो सामग्रीसँग अनजानमा अन्तरक्रिया गरेको वा हेरेका व्यक्तिहरू सम्झौताको जोखिममा छैनन्।
EMPTYSPACE डाउनलोडर द्वारा डेलिभर गरिएका अतिरिक्त खतराहरू
यसको विपरित, QUIETBOARD एक पाइथन-आधारित ब्याकडोर हो जुन यसले मनमानी आदेशहरू कार्यान्वयन गर्न, क्रिप्टो वालेट ठेगानाहरूलाई धम्की अभिनेताहरूको नियन्त्रण अन्तर्गत वालेटहरूमा रिडिरेक्ट गर्नका लागि क्लिपबोर्डमा प्रतिलिपि गरिएको क्रिप्टो वालेट ठेगानाहरू हेरफेर गर्न, हटाउन सकिने ड्राइभहरूमा मालवेयर प्रचार गर्न सक्षम पार्छ। , स्क्रिनसटहरू खिच्नुहोस्, र प्रणाली जानकारी सङ्कलन गर्नुहोस्।
यसबाहेक, यो ब्याकडोरले मोड्युलर विस्तारको लागि क्षमता प्रदर्शन गर्दछ, यसलाई सिक्का खानीहरू जस्ता स्वतन्त्र पाइथन मोड्युलहरू चलाउन सक्षम पार्दै। यसले गतिशील रूपमा C2 सर्भरबाट पाइथन कोड ल्याउन र कार्यान्वयन गर्न सक्छ।
EMPTYSPACE र QUIETBOARD को विश्लेषणले उनीहरूको उपकरणसेट विकास गर्न खतरा अभिनेताहरूको मोड्युलर दृष्टिकोणलाई रेखांकित गर्दछ। EMPTYSPACE डाउनलोडरको विभिन्न संस्करणहरू सिर्जना गर्न धेरै प्रोग्रामिङ भाषाहरूको प्रयोग र Vimeo भिडियोलाई हटाइएपछि URL को परिवर्तनले खतरा अभिनेताहरूको पक्षमा प्रयोग र अनुकूलनताको लागि पेचेन्ट प्रदर्शन गर्दछ।
