EMPTYSPACE Downloader
Finančno motiviran akter grožnje, znan kot UNC4990, uporablja naprave USB z orožjem, da cilja na organizacije v Italiji kot začetni vektor okužbe. Zdi se, da so napadi usmerjeni na več industrij, vključno z zdravjem, transportom, gradbeništvom in logistiko. Operacije UNC4990 običajno vključujejo široko razširjeno okužbo USB, ki ji sledi uvedba prenosnika EMPTYSPACE.
Med temi operacijami napada se gruča zanaša na spletna mesta tretjih oseb, kot so GitHub, Vimeo in druga, da gostijo kodirane dodatne stopnje, ki jih prenese in dekodira prek PowerShell zgodaj v izvršilni verigi.
Kazalo
Akterji groženj UNC4990 so aktivni že leta
UNC4990 je aktiven od konca leta 2020 in naj bi deloval iz Italije, kar je razvidno iz njegove pogoste uporabe italijanske infrastrukture za funkcije poveljevanja in nadzora (C2). Posebna vloga UNC4990 ostaja negotova; ni jasno, ali skupina samo omogoča začetni dostop drugim akterjem. Končni cilj tega akterja grožnje je prav tako dvoumen. Vendar pa obstaja primer, ko so raziskovalci opazili uvedbo odprtokodnega rudarja kriptovalut po večmesečni aktivnosti svetilnika.
Raziskovalci so predhodno dokumentirali podrobnosti o kampanji v začetku decembra 2023, pri čemer so nekateri sledili istemu nasprotniku pod vzdevkom Nebula Broker.
Veriga napadov, ki uporablja prenosnik EMPTYSPACE
Okužba z zlonamerno programsko opremo se začne, ko žrtev dvoklikne zlonamerno datoteko bližnjice LNK na izmenljivi napravi USB. To dejanje sproži izvajanje skripta PowerShell, odgovornega za prenos EMPTYSPACE (znanega tudi kot BrokerLoader ali Vetta Loader) z oddaljenega strežnika. Prenos je olajšan z vmesnim skriptom PowerShell, ki gostuje na Vimeu.
Raziskovalci so identificirali štiri različne različice EMPTYSPACE, kodirane v Golangu, .NET, Node.js in Python. Ko je ta grožnja v celoti uvedena, deluje kot kanal za pridobivanje kasnejših uporabnih obremenitev prek HTTP s strežnika C2, vključno z zadnjimi vrati, imenovanimi QUIETBOARD.
Pomemben vidik te faze vključuje uporabo priljubljenih spletnih mest, kot so Ars Technica, GitHub, GitLab in Vimeo, za gostovanje nevarnega tovora. Po ugotovitvah raziskave vsebine, ki gostujejo na teh storitvah, ne predstavljajo neposrednega tveganja za vsakdanje uporabnike, saj so izolirane vsebine povsem benigne. Posamezniki, ki so morda v preteklosti nenamerno komunicirali s to vsebino ali si jo ogledali, niso ogroženi.
Dodatne grožnje, ki jih prinaša prenosnik EMPTYSPACE
V nasprotju s tem je QUIETBOARD backdoor, ki temelji na Pythonu in je opremljen z raznolikim naborom funkcij, ki mu omogočajo izvajanje poljubnih ukazov, manipulacijo naslovov kripto denarnic, kopiranih v odložišče za preusmeritev prenosov sredstev v denarnice pod nadzorom akterjev grožnje, širjenje zlonamerne programske opreme na izmenljive pogone , zajemanje posnetkov zaslona in zbiranje informacij o sistemu.
Poleg tega ta stranska vrata izkazujejo zmožnost modularne razširitve, kar mu omogoča izvajanje neodvisnih modulov Python, kot so rudarji kovancev. Prav tako lahko dinamično pridobiva in izvaja kodo Python iz strežnika C2.
Analiza EMPTYSPACE in QUIETBOARD poudarja modularni pristop akterjev groženj pri razvoju njihovega nabora orodij. Uporaba več programskih jezikov za ustvarjanje različnih različic prenosnika EMPTYSPACE in sprememba URL-ja, ko je bil videoposnetek Vimeo odstranjen, kažeta nagnjenost k eksperimentiranju in prilagodljivost s strani akterjev grožnje.
