EMPTYSPACE Downloader
Ugrupowanie cyberprzestępcze motywowane finansowo, znane jako UNC4990, wykorzystuje uzbrojone urządzenia USB, aby obrać za cel organizacje we Włoszech jako początkowy wektor infekcji. Wydaje się, że celem ataków jest wiele branż, w tym opieka zdrowotna, transport, budownictwo i logistyka. Operacje UNC4990 zazwyczaj wiążą się z powszechną infekcją USB, po której następuje instalacja narzędzia do pobierania EMPTYSPACE.
Podczas tych operacji ataku klaster korzysta z witryn internetowych innych firm, takich jak GitHub, Vimeo i innych, które hostują zakodowane dodatkowe etapy, które pobiera i dekoduje za pomocą programu PowerShell na początku łańcucha wykonawczego.
Spis treści
Podmioty zagrażające UNC4990 są aktywne od lat
UNC4990 jest aktywny od końca 2020 r. i przypuszcza się, że działa z Włoch, czego dowodem jest częste wykorzystywanie przez niego włoskiej infrastruktury do celów dowodzenia i kontroli (C2). Konkretna rola UNC4990 pozostaje niepewna; nie jest jasne, czy grupa wyłącznie ułatwia początkowy dostęp innym podmiotom. Ostateczny cel tego ugrupowania zagrażającego jest również niejednoznaczny. Jednakże istnieje przypadek, w którym badacze odnotowali wdrożenie koparki kryptowalut o otwartym kodzie źródłowym po miesiącach aktywności sygnalizacyjnej.
Badacze udokumentowali wcześniej szczegóły kampanii z początku grudnia 2023 r., a niektórzy śledzili tego samego przeciwnika pod pseudonimem Nebula Broker.
Łańcuch ataków wykorzystujący narzędzie do pobierania EMPTYSPACE
Infekcja złośliwym oprogramowaniem rozpoczyna się, gdy ofiara dwukrotnie kliknie złośliwy plik skrótu LNK na wymiennym urządzeniu USB. Ta akcja powoduje wykonanie skryptu PowerShell odpowiedzialnego za pobranie EMPTYSPACE (znanego również jako BrokerLoader lub Vetta Loader) ze zdalnego serwera. Pobieranie ułatwia pośredni skrypt PowerShell hostowany na Vimeo.
Badacze zidentyfikowali cztery różne warianty EMPTYSPACE zakodowane w językach Golang, .NET, Node.js i Python. Po pełnym wdrożeniu zagrożenie to działa jako kanał umożliwiający pobieranie kolejnych ładunków za pośrednictwem protokołu HTTP z serwera C2, w tym backdoora zwanego QUIETBOARD.
Godnym uwagi aspektem tej fazy jest wykorzystanie popularnych witryn internetowych, takich jak Ars Technica, GitHub, GitLab i Vimeo, do hostowania niebezpiecznego ładunku. Zgodnie z wynikami badania treści hostowane w tych serwisach nie stanowią bezpośredniego zagrożenia dla zwykłych użytkowników, ponieważ izolowane treści są całkowicie niegroźne. Osoby, które mogły w przeszłości przypadkowo wejść w interakcję z tymi treściami lub je przeglądać, nie są narażone na ryzyko naruszenia bezpieczeństwa.
Dodatkowe zagrożenia dostarczane przez narzędzie do pobierania EMPTYSPACE
Natomiast QUIETBOARD to backdoor oparty na języku Python, wyposażony w różnorodny zestaw funkcji umożliwiających mu wykonywanie dowolnych poleceń, manipulowanie adresami portfeli kryptograficznych skopiowanymi do schowka w celu przekierowywania transferów środków do portfeli znajdujących się pod kontrolą aktorów zagrażających, rozprzestrzenianie złośliwego oprogramowania na dyski wymienne , rób zrzuty ekranu i zbieraj informacje o systemie.
Co więcej, ten backdoor wykazuje możliwość modułowej rozbudowy, umożliwiając uruchamianie niezależnych modułów Pythona, takich jak koparki monet. Może także dynamicznie pobierać i wykonywać kod Pythona z serwera C2.
Analiza projektów EMPTYSPACE i QUIETBOARD podkreśla modułowe podejście podmiotów zagrażających do opracowywania zestawu narzędzi. Wykorzystanie wielu języków programowania do tworzenia różnych wersji narzędzia do pobierania EMPTYSPACE oraz zmiana adresu URL po usunięciu wideo Vimeo świadczą o skłonności do eksperymentowania i zdolności adaptacyjnych ze strony cyberprzestępców.
