EMPTYSPACE Downloader
Finančne motivovaný aktér hrozieb známy ako UNC4990 využíva USB zariadenia so zbraňami na zacielenie na organizácie v Taliansku ako pôvodcu infekcie. Zdá sa, že útoky sú zamerané na viaceré odvetvia vrátane zdravotníctva, dopravy, stavebníctva a logistiky. Operácie UNC4990 vo všeobecnosti zahŕňajú rozšírenú infekciu USB, po ktorej nasleduje nasadenie sťahovača EMPTYSPACE.
Počas týchto útočných operácií sa klaster spolieha na webové stránky tretích strán, ako sú GitHub, Vimeo a ďalšie, ktoré hosťujú zakódované ďalšie fázy, ktoré sťahuje a dekóduje cez PowerShell na začiatku reťazca vykonávania.
Obsah
Aktéri hrozieb UNC4990 sú aktívni už roky
UNC4990 je aktívny od konca roku 2020 a predpokladá sa, že pôsobí z Talianska, čo je evidentné v jeho častom využívaní talianskej infraštruktúry pre funkcie velenia a riadenia (C2). Špecifická úloha UNC4990 zostáva neistá; nie je jasné, či skupina iba uľahčuje počiatočný prístup pre iných aktérov. Konečný cieľ tohto aktéra hrozby je tiež nejednoznačný. Existuje však prípad, keď výskumníci zaznamenali nasadenie open-source ťažiara kryptomien po mesiacoch signalizácie.
Výskumníci predtým zdokumentovali podrobnosti kampane začiatkom decembra 2023, pričom niektorí sledovali rovnakého protivníka pod prezývkou Nebula Broker.
Attack Chain využívajúci EMPTYSPACE Downloader
Infekcia škodlivým softvérom sa spustí, keď obeť dvakrát klikne na škodlivý súbor odkazu LNK na vymeniteľnom zariadení USB. Táto akcia spustí spustenie skriptu PowerShell zodpovedného za stiahnutie EMPTYSPACE (známeho aj ako BrokerLoader alebo Vetta Loader) zo vzdialeného servera. Sťahovanie je uľahčené prostredníctvom prechodného skriptu PowerShell hosteného na Vimeo.
Výskumníci identifikovali štyri odlišné varianty EMPTYSPACE kódované v Golang, .NET, Node.js a Pythone. Po úplnom nasadení táto hrozba funguje ako kanál na získavanie následných dát cez HTTP zo servera C2, vrátane zadných vrátok nazývaných QUIETBOARD.
Pozoruhodný aspekt tejto fázy zahŕňa využitie populárnych webových stránok, ako sú Ars Technica, GitHub, GitLab a Vimeo na hosťovanie nebezpečného nákladu. Podľa zistení výskumu obsah hostovaný v týchto službách nepredstavuje priame riziko pre bežných používateľov, keďže izolovaný obsah je úplne neškodný. Jednotlivcom, ktorí mohli v minulosti neúmyselne interagovať s týmto obsahom alebo si ho prezerali, nehrozí kompromis.
Ďalšie hrozby prináša program EMPTYSPACE Downloader
Na rozdiel od toho je QUIETBOARD zadné vrátka založené na Pythone, ktoré je vybavené rôznorodou sadou funkcií, ktoré mu umožňujú vykonávať ľubovoľné príkazy, manipulovať s adresami krypto peňaženky skopírovanými do schránky na presmerovanie prevodu prostriedkov do peňaženiek pod kontrolou aktérov hrozby, šíriť malvér na vymeniteľné disky. , zachytávať snímky obrazovky a zhromažďovať systémové informácie.
Navyše tento backdoor vykazuje schopnosť modulárneho rozšírenia, čo mu umožňuje spúšťať nezávislé moduly Pythonu, ako sú mincovníci. Môže tiež dynamicky načítať a spustiť kód Pythonu zo servera C2.
Analýza EMPTYSPACE a QUIETBOARD podčiarkuje modulárny prístup aktérov hrozby pri vývoji ich sady nástrojov. Využitie viacerých programovacích jazykov na vytvorenie rôznych verzií sťahovača EMPTYSPACE a zmena adresy URL pri stiahnutí videa Vimeo demonštrujú záľubu v experimentovaní a prispôsobivosti zo strany aktérov hrozby.
