Загрузчик EMPTYSPACE
Финансово мотивированный злоумышленник, известный как UNC4990, использует USB-устройства в качестве оружия для нападения на организации в Италии в качестве первоначального вектора заражения. Атаки, судя по всему, нацелены на несколько отраслей, включая здравоохранение, транспорт, строительство и логистику. Операции UNC4990 обычно включают широкомасштабное заражение USB с последующим развертыванием загрузчика EMPTYSPACE.
Во время этих атак кластер использует сторонние веб-сайты, такие как GitHub, Vimeo и другие, для размещения закодированных дополнительных этапов, которые он загружает и декодирует через PowerShell на ранних этапах цепочки выполнения.
Оглавление
Участники угрозы UNC4990 действуют уже много лет
UNC4990 активен с конца 2020 года и, как предполагается, действует из Италии, о чем свидетельствует частое использование итальянской инфраструктуры для функций командования и контроля (C2). Конкретная роль UNC4990 остается неопределенной; неясно, обеспечивает ли группа только первоначальный доступ другим участникам. Конечная цель этого субъекта угрозы также неоднозначна. Тем не менее, есть случай, когда исследователи заметили развертывание майнера криптовалюты с открытым исходным кодом после нескольких месяцев активности маяков.
Ранее исследователи документировали подробности кампании в начале декабря 2023 года, при этом некоторые отслеживали того же противника под кличкой Nebula Broker.
Цепочка атак с использованием загрузчика EMPTYSPACE
Заражение вредоносным ПО начинается, когда жертва дважды щелкает вредоносный ярлык LNK на съемном USB-устройстве. Это действие запускает выполнение сценария PowerShell, отвечающего за загрузку EMPTYSPACE (также известного как BrokerLoader или Vetta Loader) с удаленного сервера. Загрузка осуществляется с помощью промежуточного сценария PowerShell, размещенного на Vimeo.
Исследователи выявили четыре различных варианта EMPTYSPACE, написанных на Golang, .NET, Node.js и Python. После полного развертывания эта угроза действует как канал для получения последующих полезных данных через HTTP с сервера C2, включая бэкдор, называемый QUIETBOARD.
Примечательным аспектом этого этапа является использование популярных веб-сайтов, таких как Ars Technica, GitHub, GitLab и Vimeo, для размещения небезопасной полезной нагрузки. Согласно результатам исследования, контент, размещенный на этих сервисах, не представляет прямого риска для обычных пользователей, поскольку изолированный контент совершенно безвреден. Лица, которые, возможно, непреднамеренно взаимодействовали с этим контентом или просматривали его в прошлом, не подвергаются риску компрометации.
Дополнительные угрозы, исходящие от загрузчика EMPTYSPACE
QUIETBOARD, напротив, представляет собой бэкдор на базе Python, оснащенный разнообразным набором функций, позволяющих ему выполнять произвольные команды, манипулировать адресами криптокошельков, скопированных в буфер обмена, для перенаправления переводов средств на кошельки, находящиеся под контролем злоумышленников, распространять вредоносное ПО на съемные диски. , делать снимки экрана и собирать системную информацию.
Более того, этот бэкдор демонстрирует возможность модульного расширения, что позволяет запускать независимые модули Python, такие как майнеры монет. Он также может динамически получать и выполнять код Python с сервера C2.
Анализ EMPTYSPACE и QUIETBOARD подчеркивает модульный подход злоумышленников к разработке своего набора инструментов. Использование нескольких языков программирования для создания различных версий загрузчика EMPTYSPACE и изменение URL-адреса после удаления видео Vimeo демонстрируют склонность к экспериментам и адаптивности со стороны злоумышленников.