EMPTYSPACE Downloader
En ekonomiskt motiverad hotaktör känd som UNC4990 använder vapenförsedda USB-enheter för att rikta in sig på organisationer i Italien som en initial infektionsvektor. Attackerna verkar vara riktade mot flera branscher, inklusive hälsa, transport, konstruktion och logistik. UNC4990-operationer involverar i allmänhet en utbredd USB-infektion följt av distributionen av EMPTYSPACE-nedladdaren.
Under dessa attackoperationer förlitar sig klustret på tredjepartswebbplatser som GitHub, Vimeo och andra för att vara värd för kodade ytterligare steg, som det laddar ner och avkodar via PowerShell tidigt i exekveringskedjan.
Innehållsförteckning
UNC4990-hotaktörerna har varit aktiva i flera år
UNC4990 har varit aktiv sedan slutet av 2020 och tros fungera från Italien, vilket är uppenbart i dess frekventa användning av italiensk infrastruktur för kommando-och-kontroll (C2) funktioner. UNC4990:s specifika roll är fortfarande osäker; det är oklart om gruppen enbart underlättar initial tillgång för andra aktörer. Det slutliga målet för denna hotaktör är också tvetydigt. Det finns dock ett fall där forskare noterade utplaceringen av en gruvarbetare för kryptovaluta med öppen källkod efter månader av beaconing-aktivitet.
Forskare hade tidigare dokumenterat detaljer om kampanjen i början av december 2023, med några som spårade samma motståndare under namnet Nebula Broker.
Attackkedjan som använder EMPTYSPACE Downloader
Infektionen med skadlig programvara initieras när ett offer dubbelklickar på en skadlig LNK-genvägsfil på en flyttbar USB-enhet. Den här åtgärden utlöser exekveringen av ett PowerShell-skript som ansvarar för nedladdning av EMPTYSPACE (även känd som BrokerLoader eller Vetta Loader) från en fjärrserver. Nedladdningen underlättas genom ett mellanliggande PowerShell-skript som finns på Vimeo.
Forskare har identifierat fyra distinkta varianter av EMPTYSPACE, kodade i Golang, .NET, Node.js och Python. När det är fullt utplacerat fungerar detta hot som en kanal för att hämta efterföljande nyttolaster över HTTP från C2-servern, inklusive en bakdörr som kallas QUIETBOARD.
En anmärkningsvärd aspekt av denna fas involverar användningen av populära webbplatser som Ars Technica, GitHub, GitLab och Vimeo för att vara värd för den osäkra nyttolasten. Enligt forskningsresultaten utgör innehållet på dessa tjänster ingen direkt risk för vanliga användare, eftersom det isolerade innehållet är helt godartat. Individer som kan ha oavsiktligt interagerat med eller sett detta innehåll tidigare riskerar inte att kompromissa.
Ytterligare hot som levereras av EMPTYSPACE Downloader
Däremot är QUIETBOARD en Python-baserad bakdörr utrustad med en mängd olika funktioner som gör det möjligt för den att utföra godtyckliga kommandon, manipulera kryptoplånboksadresser som kopierats till urklippet för att omdirigera överföringar till plånböcker under hotaktörernas kontroll, sprida skadlig programvara till flyttbara enheter , ta skärmdumpar och samla in systeminformation.
Dessutom uppvisar den här bakdörren förmågan till modulär expansion, vilket gör att den kan köra oberoende Python-moduler såsom myntgruvarbetare. Den kan också dynamiskt hämta och köra Python-kod från C2-servern.
Analysen av EMPTYSPACE och QUIETBOARD understryker hotaktörernas modulära tillvägagångssätt för att utveckla sina verktyg. Användningen av flera programmeringsspråk för att skapa olika versioner av EMPTYSPACE-nedladdaren och ändringen av URL:en när Vimeo-videon togs ner visar en förkärlek för experiment och anpassningsförmåga hos hotaktörerna.
