EMPTYSPACE Downloader
Un actor de amenințare motivat financiar, cunoscut sub numele de UNC4990, folosește dispozitivele USB armate pentru a viza organizațiile din Italia ca un vector inițial de infecție. Atacurile par să vizeze mai multe industrii, inclusiv sănătatea, transporturile, construcțiile și logistica. Operațiunile UNC4990 implică, în general, infecția USB pe scară largă, urmată de implementarea programului de descărcare EMPTYSPACE.
În timpul acestor operațiuni de atac, clusterul se bazează pe site-uri web ale unor terțe părți, cum ar fi GitHub, Vimeo și altele, pentru a găzdui etapele suplimentare codificate, pe care le descarcă și le decodifică prin PowerShell la începutul lanțului de execuție.
Cuprins
Actorii de amenințare UNC4990 sunt activi de ani de zile
UNC4990 este activ de la sfârșitul anului 2020 și se crede că operează din Italia, ceea ce este evident în utilizarea frecventă a infrastructurii italiene pentru funcțiile de comandă și control (C2). Rolul specific al UNC4990 rămâne incert; nu este clar dacă grupul facilitează exclusiv accesul inițial pentru alți actori. Obiectivul final al acestui actor de amenințare este, de asemenea, ambiguu. Cu toate acestea, există un caz în care cercetătorii au remarcat desfășurarea unui miner de criptomonede open-source după luni de activitate de semnalizare.
Cercetătorii au documentat anterior detaliile campaniei la începutul lunii decembrie 2023, unii urmărind același adversar sub numele de Nebula Broker.
Lanțul de atac care utilizează programul de descărcare EMPTYSPACE
Infecția cu malware inițiază atunci când o victimă face dublu clic pe un fișier de scurtătură LNK rău intenționat de pe un dispozitiv USB amovibil. Această acțiune declanșează execuția unui script PowerShell responsabil pentru descărcarea EMPTYSPACE (cunoscut și ca BrokerLoader sau Vetta Loader) de pe un server la distanță. Descărcarea este facilitată printr-un script intermediar PowerShell găzduit pe Vimeo.
Cercetătorii au identificat patru variante distincte de EMPTYSPACE, codificate în Golang, .NET, Node.js și Python. Odată implementată complet, această amenințare funcționează ca un canal pentru preluarea încărcăturilor utile ulterioare prin HTTP de pe serverul C2, inclusiv o ușă din spate denumită QUIETBOARD.
Un aspect demn de remarcat al acestei faze implică utilizarea site-urilor web populare, cum ar fi Ars Technica, GitHub, GitLab și Vimeo pentru găzduirea încărcăturii nesigure. Conform rezultatelor cercetării, conținutul găzduit pe aceste servicii nu prezintă un risc direct pentru utilizatorii obișnuiți, deoarece conținutul izolat este în întregime benign. Persoanele care au interacționat neintenționat sau au văzut acest conținut în trecut nu sunt expuse riscului de compromis.
Amenințări suplimentare furnizate de EMPTYSPACE Downloader
În schimb, QUIETBOARD este o ușă din spate bazată pe Python, echipată cu un set divers de caracteristici care îi permit să execute comenzi arbitrare, să manipuleze adresele criptomonede copiate în clipboard pentru a redirecționa transferurile de fonduri către portofele sub controlul actorilor amenințări, să propage malware pe unități amovibile. , faceți capturi de ecran și colectați informații despre sistem.
În plus, această ușă din spate prezintă capacitatea de extindere modulară, permițându-i să ruleze module Python independente, cum ar fi minerii de monede. De asemenea, poate prelua și executa în mod dinamic codul Python de pe serverul C2.
Analiza EMPTYSPACE și QUIETBOARD subliniază abordarea modulară a actorilor amenințărilor în dezvoltarea setului de instrumente. Utilizarea mai multor limbaje de programare pentru a crea diferite versiuni ale programului de descărcare EMPTYSPACE și modificarea adresei URL atunci când videoclipul Vimeo a fost scos demonstrează o înclinație pentru experimentare și adaptabilitate din partea actorilor amenințărilor.
