EMPTYSPACE-downloader
Een financieel gemotiveerde bedreigingsacteur, bekend als UNC4990, maakt gebruik van bewapende USB-apparaten om organisaties in Italië aan te vallen als een eerste infectievector. De aanvallen lijken gericht te zijn op meerdere sectoren, waaronder de gezondheidszorg, transport, bouw en logistiek. Bij UNC4990-bewerkingen gaat het doorgaans om een wijdverbreide USB-infectie, gevolgd door de inzet van de EMPTYSPACE-downloader.
Tijdens deze aanvalsoperaties vertrouwt het cluster op websites van derden, zoals GitHub, Vimeo en anderen, om gecodeerde extra fasen te hosten, die het vroeg in de uitvoeringsketen via PowerShell downloadt en decodeert.
Inhoudsopgave
De bedreigingsactoren van UNC4990 zijn al jaren actief
UNC4990 is sinds eind 2020 actief en wordt verondersteld te opereren vanuit Italië, wat blijkt uit het frequente gebruik van de Italiaanse infrastructuur voor command-and-control (C2)-functies. De specifieke rol van UNC4990 blijft onzeker; het is onduidelijk of de groep uitsluitend de initiële toegang voor andere actoren faciliteert. Ook het uiteindelijke doel van deze bedreigingsacteur is dubbelzinnig. Er is echter een geval waarin onderzoekers de inzet van een open-source cryptocurrency-miner opmerkten na maanden van bakenactiviteiten.
Onderzoekers hadden eerder begin december 2023 details van de campagne gedocumenteerd, waarbij sommigen dezelfde tegenstander volgden onder de naam Nebula Broker.
De aanvalsketen met behulp van de EMPTYSPACE Downloader
De malware-infectie begint wanneer een slachtoffer dubbelklikt op een kwaadaardig LNK-snelkoppelingsbestand op een verwisselbaar USB-apparaat. Deze actie activeert de uitvoering van een PowerShell-script dat verantwoordelijk is voor het downloaden van EMPTYSPACE (ook bekend als BrokerLoader of Vetta Loader) van een externe server. Het downloaden wordt mogelijk gemaakt via een tussenliggend PowerShell-script dat wordt gehost op Vimeo.
Onderzoekers hebben vier verschillende varianten van EMPTYSPACE geïdentificeerd, gecodeerd in Golang, .NET, Node.js en Python. Eenmaal volledig ingezet, fungeert deze bedreiging als kanaal voor het ophalen van daaropvolgende payloads via HTTP van de C2-server, inclusief een achterdeur die QUIETBOARD wordt genoemd.
Een opmerkelijk aspect van deze fase betreft het gebruik van populaire websites zoals Ars Technica, GitHub, GitLab en Vimeo voor het hosten van de onveilige lading. Volgens de onderzoeksresultaten vormt de inhoud die op deze diensten wordt gehost geen direct risico voor gewone gebruikers, omdat de geïsoleerde inhoud volkomen goedaardig is. Individuen die in het verleden mogelijk onbedoeld interactie hebben gehad met deze inhoud of deze hebben bekeken, lopen geen risico op compromissen.
Extra bedreigingen veroorzaakt door de EMPTYSPACE Downloader
QUIETBOARD is daarentegen een op Python gebaseerde achterdeur die is uitgerust met een diverse reeks functies waarmee het willekeurige opdrachten kan uitvoeren, crypto-portemonnee-adressen kan manipuleren die naar het klembord zijn gekopieerd om geldoverdrachten om te leiden naar portemonnees onder de controle van de bedreigingsactoren, en malware naar verwisselbare schijven kan verspreiden. , maak screenshots en verzamel systeeminformatie.
Bovendien vertoont deze achterdeur de mogelijkheid tot modulaire uitbreiding, waardoor onafhankelijke Python-modules zoals muntmijnwerkers kunnen worden uitgevoerd. Het kan ook dynamisch Python-code ophalen en uitvoeren van de C2-server.
De analyse van de EMPTYSPACE en QUIETBOARD onderstreept de modulaire aanpak van de dreigingsactoren bij het ontwikkelen van hun toolset. Het gebruik van meerdere programmeertalen om verschillende versies van de EMPTYSPACE-downloader te maken en de wijziging van de URL toen de Vimeo-video werd verwijderd, tonen aan dat de bedreigingsactoren een voorliefde hebben voor experimenten en aanpassingsvermogen.
