EMPTYSPACE Downloader
Um autor de ameaça com motivação financeira conhecido como UNC4990 está aproveitando dispositivos USB armados para atingir organizações na Itália como um vetor inicial de infecção. Os ataques parecem ter como alvo vários setores, incluindo saúde, transporte, construção e logística. As operações UNC4990 geralmente envolvem infecção generalizada de USB seguida pela implantação do downloader EMPTYSPACE.
Durante essas operações de ataque, o cluster depende de sites de terceiros, como GitHub, Vimeo e outros, para hospedar estágios adicionais codificados, que baixa e decodifica via PowerShell no início da cadeia de execução.
Índice
Os Autores de Ameaças UNC4990 estão Ativos há Anos
O UNC4990 está ativo desde o final de 2020 e acredita-se que opere a partir de Itália, o que é evidente na sua utilização frequente da infraestrutura italiana para funções de comando e controlo (C2). O papel específico do UNC4990 permanece incerto; não está claro se o grupo apenas facilita o acesso inicial a outros intervenientes. O objetivo final deste ator ameaçador também é ambíguo. No entanto, há um caso em que os pesquisadores notaram a implantação de um minerador de criptomoeda de código aberto após meses de atividade de beacon.
Os pesquisadores já haviam documentado detalhes da campanha no início de dezembro de 2023, com alguns rastreando o mesmo adversário sob o apelido de Nebula Broker.
A Cadeia de Ataque Empregando o EMPTYSPACE Downloader
A infecção por malware começa quando a vítima clica duas vezes em um arquivo de atalho LNK malicioso em um dispositivo USB removível. Esta ação desencadeia a execução de um script PowerShell responsável por baixar o EMPTYSPACE (também conhecido como BrokerLoader ou Vetta Loader) de um servidor remoto. O download é facilitado por meio de um script intermediário do PowerShell hospedado no Vimeo.
Os pesquisadores identificaram quatro variantes distintas do EMPTYSPACE, codificadas em Golang, .NET, Node.js e Python. Depois de totalmente implantada, essa ameaça funciona como um canal para recuperar cargas subsequentes por HTTP do servidor C2, incluindo um backdoor conhecido como QUIETBOARD.
Um aspecto digno de nota desta fase envolve a utilização de sites populares como Ars Technica, GitHub, GitLab e Vimeo para hospedar a carga insegura. De acordo com os resultados da investigação, o conteúdo alojado nestes serviços não representa um risco direto para os utilizadores comuns, uma vez que o conteúdo isolado é totalmente benigno. Indivíduos que possam ter interagido ou visualizado involuntariamente este conteúdo no passado não correm risco de comprometimento.
Ameaças Adicionais Entregues pelo EMPTYSPACE Downloader
Em contraste, QUIETBOARD é um backdoor baseado em Python equipado com um conjunto diversificado de recursos que permitem executar comandos arbitrários, manipular endereços de carteiras criptografadas copiados para a área de transferência para redirecionar transferências de fundos para carteiras sob o controle dos atores da ameaça, propagar malware para unidades removíveis , capture capturas de tela e colete informações do sistema.
Além disso, esse backdoor exibe capacidade de expansão modular, permitindo executar módulos Python independentes, como mineradores de moedas. Ele também pode buscar e executar dinamicamente código Python do servidor C2.
A análise do EMPTYSPACE e do QUIETBOARD destaca a abordagem modular dos atores da ameaça no desenvolvimento do seu conjunto de ferramentas. A utilização de múltiplas linguagens de programação para criar diversas versões do downloader EMPTYSPACE e a alteração da URL quando o vídeo do Vimeo foi retirado demonstram uma propensão para a experimentação e adaptabilidade por parte dos atores da ameaça.
