EMPTYSPACE Downloader
Финансијски мотивисани актер претњи познат као УНЦ4990 користи наоружане УСБ уређаје да циља организације у Италији као почетни вектор инфекције. Чини се да су напади циљани на више индустрија, укључујући здравство, транспорт, грађевинарство и логистику. Операције УНЦ4990 генерално укључују широко распрострањену УСБ инфекцију праћену применом програма за преузимање ЕМПТИСПАЦЕ.
Током ових операција напада, кластер се ослања на веб-сајтове трећих страна као што су ГитХуб, Вимео и други за хостовање кодираних додатних фаза, које преузима и декодира преко ПоверСхелл-а рано у ланцу извршавања.
Преглед садржаја
Актери претњи УНЦ4990 су активни годинама
УНЦ4990 је активан од краја 2020. године и верује се да делује из Италије, што је очигледно у честој употреби италијанске инфраструктуре за функције командовања и контроле (Ц2). Конкретна улога УНЦ4990 остаје неизвесна; нејасно је да ли група само олакшава почетни приступ другим актерима. Крајњи циљ овог актера претње је такође двосмислен. Међутим, постоји случај када су истраживачи приметили увођење рудара криптовалута отвореног кода након вишемесечних активности праћења.
Истраживачи су раније документовали детаље кампање почетком децембра 2023. године, а неки су пратили истог противника под именом Небула Брокер.
Ланац напада који користи ЕМПТИСПАЦЕ Довнлоадер
Инфекција малвером почиње када жртва двапут кликне на злонамерну ЛНК датотеку пречице на преносивом УСБ уређају. Ова радња покреће извршавање ПоверСхелл скрипте одговорне за преузимање ЕМПТИСПАЦЕ (познатог и као БрокерЛоадер или Ветта Лоадер) са удаљеног сервера. Преузимање је олакшано преко посредне ПоверСхелл скрипте која се налази на Вимео-у.
Истраживачи су идентификовали четири различите варијанте ЕМПТИСПАЦЕ-а, кодиране у Голанг, .НЕТ, Ноде.јс и Питхон. Када се у потпуности примени, ова претња функционише као канал за преузимање накнадних корисних података преко ХТТП-а са Ц2 сервера, укључујући бацкдоор који се назива КУИЕТБОАРД.
Значајан аспект ове фазе укључује коришћење популарних веб локација као што су Арс Тецхница, ГитХуб, ГитЛаб и Вимео за хостовање небезбедног терета. Према налазима истраживања, садржај који се налази на овим сервисима не представља директну опасност за обичне кориснике, јер је изоловани садржај потпуно бенигни. Појединци који су можда ненамерно ступили у интеракцију са овим садржајем или га гледали у прошлости нису у опасности од компромиса.
Додатне претње које испоручује ЕМПТИСПАЦЕ Довнлоадер
Насупрот томе, КУИЕТБОАРД је бацкдоор заснован на Питхон-у опремљен разноликим скупом функција које му омогућавају да извршава произвољне команде, манипулише адресама крипто новчаника копираним у клипборд за преусмеравање трансфера средстава у новчанике под контролом актера претњи, пропагира малвер на преносиве дискове , снимите снимке екрана и прикупите системске информације.
Штавише, овај бацкдоор показује могућност модуларног проширења, омогућавајући му да покреће независне Питхон модуле као што су копачи новчића. Такође може динамички да преузима и извршава Питхон код са Ц2 сервера.
Анализа ЕМПТИСПАЦЕ-а и КУИЕТБОАРД-а наглашава модуларни приступ актера претњи у развоју њиховог скупа алата. Коришћење више програмских језика за креирање различитих верзија програма за преузимање ЕМПТИСПАЦЕ и измена УРЛ-а када је видео из Вимеа уклоњен, показују склоност експериментисању и прилагодљивости актера претњи.
