Shkarkues EMPTYSPACE
Një aktor kërcënimi i motivuar financiarisht i njohur si UNC4990 po përdor pajisjet USB të armatosura për të synuar organizatat në Itali si një vektor fillestar infeksioni. Sulmet duket se synojnë industri të shumta, duke përfshirë shëndetin, transportin, ndërtimin dhe logjistikën. Operacionet UNC4990 përfshijnë përgjithësisht një infeksion të përhapur USB, i ndjekur nga vendosja e shkarkuesit EMPTYSPACE.
Gjatë këtyre operacioneve të sulmit, grupi mbështetet në faqet e internetit të palëve të treta si GitHub, Vimeo dhe të tjera për të pritur faza shtesë të koduara, të cilat i shkarkon dhe deshifron përmes PowerShell në fillim të zinxhirit të ekzekutimit.
Tabela e Përmbajtjes
Aktorët e Kërcënimit UNC4990 kanë qenë aktivë prej vitesh
UNC4990 ka qenë aktiv që nga fundi i vitit 2020 dhe besohet se operon nga Italia, gjë që është e dukshme në përdorimin e shpeshtë të infrastrukturës italiane për funksionet e komandës dhe kontrollit (C2). Roli specifik i UNC4990 mbetet i pasigurt; është e paqartë nëse grupi lehtëson vetëm aksesin fillestar për aktorët e tjerë. Objektivi përfundimtar i këtij aktori kërcënimi është gjithashtu i paqartë. Sidoqoftë, ekziston një rast kur studiuesit vunë re vendosjen e një minatori të kriptomonedhave me burim të hapur pas muajsh aktiviteti të sinjalizimit.
Studiuesit kishin dokumentuar më parë detaje të fushatës në fillim të dhjetorit 2023, me disa që gjurmonin të njëjtin kundërshtar nën emrin Nebula Broker.
Zinxhiri i sulmit që përdor Shkarkuesin EMPTYSPACE
Infeksioni i malware fillon kur një viktimë klikon dy herë në një skedar shkurtore me qëllim të keq LNK në një pajisje USB të lëvizshme. Ky veprim shkakton ekzekutimin e një skripti PowerShell përgjegjës për shkarkimin EMPTYSPACE (i njohur gjithashtu si BrokerLoader ose Vetta Loader) nga një server në distancë. Shkarkimi lehtësohet përmes një skripti të ndërmjetëm PowerShell të vendosur në Vimeo.
Studiuesit kanë identifikuar katër variante të dallueshme të EMPTYSPACE, të koduara në Golang, .NET, Node.js dhe Python. Pasi të vendoset plotësisht, ky kërcënim funksionon si një kanal për marrjen e ngarkesave të mëvonshme mbi HTTP nga serveri C2, duke përfshirë një prapavijë të referuar si QUIETBOARD.
Një aspekt i rëndësishëm i kësaj faze përfshin përdorimin e faqeve të internetit të njohura si Ars Technica, GitHub, GitLab dhe Vimeo për të pritur ngarkesën e pasigurt. Sipas gjetjeve të hulumtimit, përmbajtja e vendosur në këto shërbime nuk përbën një rrezik të drejtpërdrejtë për përdoruesit e përditshëm, pasi përmbajtja e izoluar është tërësisht e mirë. Individët që mund të kenë ndërvepruar ose pa dashje me këtë përmbajtje në të kaluarën nuk janë në rrezik kompromisi.
Kërcënime shtesë të paraqitura nga Shkarkuesi EMPTYSPACE
Në të kundërt, QUIETBOARD është një derë e pasme e bazuar në Python e pajisur me një sërë funksionesh të ndryshme që i mundësojnë të ekzekutojë komanda arbitrare, të manipulojë adresat e portofolit të kriptove të kopjuara në kujtesën e fragmenteve për ridrejtimin e transfertave të fondeve në kuletat nën kontrollin e aktorëve të kërcënimit, të përhapë malware në disqet e lëvizshëm. , kapni pamje nga ekrani dhe mblidhni informacione të sistemit.
Për më tepër, kjo derë e pasme shfaq aftësinë për zgjerim modular, duke i mundësuar asaj të ekzekutojë module të pavarura Python, siç janë minatorët e monedhave. Ai gjithashtu mund të marrë dhe ekzekutojë në mënyrë dinamike kodin Python nga serveri C2.
Analiza e EMPTYSPACE dhe QUIETBOARD nënvizon qasjen modulare të aktorëve të kërcënimit në zhvillimin e grupit të tyre të mjeteve. Përdorimi i gjuhëve të shumta të programimit për të krijuar versione të ndryshme të shkarkuesit EMPTYSPACE dhe ndryshimi i URL-së kur videoja Vimeo u hoq, demonstrojnë një prirje për eksperimentim dhe përshtatshmëri nga ana e aktorëve të kërcënimit.
