EMPTYSPACE ਡਾਊਨਲੋਡਰ

UNC4990 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਧਮਕੀ ਅਭਿਨੇਤਾ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਸੰਕਰਮਣ ਵੈਕਟਰ ਵਜੋਂ ਇਟਲੀ ਵਿੱਚ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਹਥਿਆਰਬੰਦ USB ਡਿਵਾਈਸਾਂ ਦਾ ਲਾਭ ਲੈ ਰਿਹਾ ਹੈ। ਇਹ ਹਮਲੇ ਸਿਹਤ, ਆਵਾਜਾਈ, ਨਿਰਮਾਣ ਅਤੇ ਲੌਜਿਸਟਿਕਸ ਸਮੇਤ ਕਈ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਜਾਪਦੇ ਹਨ। UNC4990 ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ EMPTYSPACE ਡਾਊਨਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਤੋਂ ਬਾਅਦ ਵਿਆਪਕ USB ਲਾਗ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ।

ਇਹਨਾਂ ਅਟੈਕ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਦੌਰਾਨ, ਕਲੱਸਟਰ ਏਨਕੋਡ ਕੀਤੇ ਵਾਧੂ ਪੜਾਵਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਲਈ ਤੀਜੀ-ਧਿਰ ਦੀਆਂ ਵੈਬਸਾਈਟਾਂ ਜਿਵੇਂ ਕਿ GitHub, Vimeo, ਅਤੇ ਹੋਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਇਹ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ PowerShell ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਅਤੇ ਡੀਕੋਡ ਕਰਦਾ ਹੈ।

UNC4990 ਧਮਕੀ ਐਕਟਰ ਸਾਲਾਂ ਤੋਂ ਸਰਗਰਮ ਹਨ

UNC4990 2020 ਦੇ ਅਖੀਰ ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਇਟਲੀ ਤੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਫੰਕਸ਼ਨਾਂ ਲਈ ਇਟਾਲੀਅਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਲਗਾਤਾਰ ਵਰਤੋਂ ਵਿੱਚ ਸਪੱਸ਼ਟ ਹੈ। UNC4990 ਦੀ ਖਾਸ ਭੂਮਿਕਾ ਅਨਿਸ਼ਚਿਤ ਰਹਿੰਦੀ ਹੈ; ਇਹ ਅਸਪਸ਼ਟ ਹੈ ਕਿ ਕੀ ਸਮੂਹ ਸਿਰਫ਼ ਦੂਜੇ ਅਦਾਕਾਰਾਂ ਲਈ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ। ਇਸ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦਾ ਅੰਤਮ ਉਦੇਸ਼ ਵੀ ਅਸਪਸ਼ਟ ਹੈ। ਹਾਲਾਂਕਿ, ਇੱਕ ਅਜਿਹਾ ਉਦਾਹਰਣ ਹੈ ਜਿੱਥੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਬੀਕਨਿੰਗ ਗਤੀਵਿਧੀ ਦੇ ਮਹੀਨਿਆਂ ਬਾਅਦ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਦੀ ਤਾਇਨਾਤੀ ਨੂੰ ਨੋਟ ਕੀਤਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲਾਂ ਦਸੰਬਰ 2023 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਮੁਹਿੰਮ ਦੇ ਵੇਰਵਿਆਂ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਸੀ, ਕੁਝ ਨੇ ਮੋਨੀਕਰ ਨੇਬੂਲਾ ਬ੍ਰੋਕਰ ਦੇ ਅਧੀਨ ਉਸੇ ਵਿਰੋਧੀ ਨੂੰ ਟਰੈਕ ਕੀਤਾ ਸੀ।

ਅਟੈਕ ਚੇਨ EMPTYSPACE ਡਾਉਨਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ

ਮਾਲਵੇਅਰ ਦੀ ਲਾਗ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਪੀੜਤ ਇੱਕ ਹਟਾਉਣਯੋਗ USB ਡਿਵਾਈਸ 'ਤੇ ਇੱਕ ਖਤਰਨਾਕ LNK ਸ਼ਾਰਟਕੱਟ ਫਾਈਲ 'ਤੇ ਡਬਲ-ਕਲਿਕ ਕਰਦਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ EMPTYSPACE (ਜਿਸ ਨੂੰ ਬ੍ਰੋਕਰਲੋਡਰ ਜਾਂ ਵੇਟਾ ਲੋਡਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ PowerShell ਸਕ੍ਰਿਪਟ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ। Vimeo 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਇੱਕ ਵਿਚਕਾਰਲੇ PowerShell ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਦੀ ਸਹੂਲਤ ਦਿੱਤੀ ਗਈ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗੋਲੰਗ, .NET, Node.js, ਅਤੇ Python ਵਿੱਚ ਕੋਡ ਕੀਤੇ EMPTYSPACE ਦੇ ਚਾਰ ਵੱਖ-ਵੱਖ ਰੂਪਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਇੱਕ ਵਾਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੈਨਾਤ ਹੋ ਜਾਣ 'ਤੇ, ਇਹ ਧਮਕੀ C2 ਸਰਵਰ ਤੋਂ HTTP ਉੱਤੇ ਅਗਲੇ ਪੇਲੋਡਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਨਦੀ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ QUIETBOARD ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਬੈਕਡੋਰ ਵੀ ਸ਼ਾਮਲ ਹੈ।

ਇਸ ਪੜਾਅ ਦੇ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਪਹਿਲੂ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਪੇਲੋਡ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਲਈ ਪ੍ਰਸਿੱਧ ਵੈਬਸਾਈਟਾਂ ਜਿਵੇਂ ਕਿ ਆਰਸ ਟੈਕਨੀਕਾ, ਗਿੱਟਹਬ, ਗਿੱਟਲੈਬ, ਅਤੇ ਵਿਮੇਓ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਖੋਜ ਦੇ ਨਤੀਜਿਆਂ ਦੇ ਅਨੁਸਾਰ, ਇਹਨਾਂ ਸੇਵਾਵਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਸਮੱਗਰੀ ਰੋਜ਼ਾਨਾ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਸਿੱਧਾ ਖਤਰਾ ਨਹੀਂ ਬਣਾਉਂਦੀ ਹੈ, ਕਿਉਂਕਿ ਅਲੱਗ ਸਮੱਗਰੀ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੁਭਾਵਕ ਹੈ। ਉਹ ਵਿਅਕਤੀ ਜਿਨ੍ਹਾਂ ਨੇ ਅਤੀਤ ਵਿੱਚ ਇਸ ਸਮੱਗਰੀ ਨਾਲ ਅਣਜਾਣੇ ਵਿੱਚ ਇੰਟਰੈਕਟ ਕੀਤਾ ਜਾਂ ਦੇਖਿਆ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕਰਨ ਦਾ ਖ਼ਤਰਾ ਨਹੀਂ ਹੈ।

EMPTYSPACE ਡਾਊਨਲੋਡਰ ਦੁਆਰਾ ਦਿੱਤੇ ਗਏ ਵਾਧੂ ਧਮਕੀਆਂ

ਇਸ ਦੇ ਉਲਟ, QUIETBOARD ਇੱਕ ਪਾਈਥਨ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਹੈ ਜੋ ਵਿਭਿੰਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਨਾਲ ਲੈਸ ਹੈ ਜੋ ਇਸਨੂੰ ਮਨਮਾਨੇ ਹੁਕਮਾਂ ਨੂੰ ਚਲਾਉਣ, ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਵਾਲਿਟ ਵਿੱਚ ਫੰਡ ਟ੍ਰਾਂਸਫਰ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ ਕਲਿੱਪਬੋਰਡ ਵਿੱਚ ਕਾਪੀ ਕੀਤੇ ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ ਪਤਿਆਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਮਾਲਵੇਅਰ ਨੂੰ ਹਟਾਉਣਯੋਗ ਡਰਾਈਵਾਂ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ। , ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰੋ, ਅਤੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੋ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਬੈਕਡੋਰ ਮਾਡਿਊਲਰ ਵਿਸਤਾਰ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ ਸਿੱਕਾ ਮਾਈਨਰ ਵਰਗੇ ਸੁਤੰਤਰ ਪਾਈਥਨ ਮੋਡੀਊਲ ਚਲਾਉਣ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਡਾਇਨਾਮਿਕ ਤੌਰ 'ਤੇ C2 ਸਰਵਰ ਤੋਂ ਪਾਈਥਨ ਕੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਚਲਾ ਸਕਦਾ ਹੈ।

EMPTYSPACE ਅਤੇ QUIETBOARD ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਉਹਨਾਂ ਦੇ ਟੂਲਸੈੱਟ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਵਿੱਚ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੀ ਮਾਡਯੂਲਰ ਪਹੁੰਚ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ। EMPTYSPACE ਡਾਉਨਲੋਡਰ ਦੇ ਵੱਖ-ਵੱਖ ਸੰਸਕਰਣਾਂ ਨੂੰ ਬਣਾਉਣ ਲਈ ਮਲਟੀਪਲ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਦੀ ਵਰਤੋਂ ਅਤੇ ਜਦੋਂ Vimeo ਵੀਡੀਓ ਨੂੰ ਉਤਾਰਿਆ ਗਿਆ ਸੀ ਤਾਂ URL ਦੀ ਤਬਦੀਲੀ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੇ ਹਿੱਸੇ 'ਤੇ ਪ੍ਰਯੋਗ ਅਤੇ ਅਨੁਕੂਲਤਾ ਲਈ ਇੱਕ ਰੁਝਾਨ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੀ ਹੈ।