EMPTYSPACE డౌన్లోడర్
UNC4990 అని పిలువబడే ఆర్థికంగా ప్రేరేపించబడిన ముప్పు నటుడు ఇటలీలోని సంస్థలను ప్రారంభ ఇన్ఫెక్షన్ వెక్టర్గా లక్ష్యంగా చేసుకోవడానికి ఆయుధ USB పరికరాలను ఉపయోగిస్తున్నారు. ఈ దాడులు ఆరోగ్యం, రవాణా, నిర్మాణం మరియు లాజిస్టిక్స్తో సహా పలు పరిశ్రమలను లక్ష్యంగా చేసుకున్నట్లు కనిపిస్తోంది. UNC4990 కార్యకలాపాలు సాధారణంగా EMPTYSPACE డౌన్లోడర్ని విస్తరించడంతో పాటు విస్తృతమైన USB ఇన్ఫెక్షన్ను కలిగి ఉంటాయి.
ఈ దాడి కార్యకలాపాల సమయంలో, క్లస్టర్ ఎన్కోడ్ చేసిన అదనపు దశలను హోస్ట్ చేయడానికి GitHub, Vimeo మరియు ఇతరుల వంటి థర్డ్-పార్టీ వెబ్సైట్లపై ఆధారపడుతుంది, ఇది అమలు గొలుసు ప్రారంభంలో PowerShell ద్వారా డౌన్లోడ్ చేసి డీకోడ్ చేస్తుంది.
విషయ సూచిక
UNC4990 థ్రెట్ యాక్టర్స్ సంవత్సరాలుగా చురుకుగా ఉన్నారు
UNC4990 2020 చివరి నుండి సక్రియంగా ఉంది మరియు ఇటలీ నుండి పనిచేస్తుందని నమ్ముతారు, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) ఫంక్షన్ల కోసం ఇటాలియన్ ఇన్ఫ్రాస్ట్రక్చర్ను తరచుగా ఉపయోగించడంలో స్పష్టంగా కనిపిస్తుంది. UNC4990 యొక్క నిర్దిష్ట పాత్ర అనిశ్చితంగా ఉంది; ఇతర నటీనటుల కోసం ఈ బృందం కేవలం ప్రారంభ యాక్సెస్ను సులభతరం చేస్తుందా అనేది అస్పష్టంగా ఉంది. ఈ బెదిరింపు నటుడి అంతిమ లక్ష్యం కూడా అస్పష్టంగానే ఉంది. ఏది ఏమైనప్పటికీ, నెలల తరబడి బీకనింగ్ కార్యకలాపాలను అనుసరించి ఓపెన్ సోర్స్ క్రిప్టోకరెన్సీ మైనర్ యొక్క విస్తరణను పరిశోధకులు గుర్తించిన సందర్భం ఉంది.
పరిశోధకులు గతంలో డిసెంబర్ 2023 ప్రారంభంలో ప్రచార వివరాలను డాక్యుమెంట్ చేసారు, కొందరు అదే విరోధిని నెబ్యులా బ్రోకర్ పేరుతో ట్రాక్ చేశారు.
ఎటాక్ చైన్ EMPTYSPACE డౌన్లోడర్ను ఉపయోగిస్తోంది
ఒక బాధితుడు తొలగించగల USB పరికరంలో హానికరమైన LNK షార్ట్కట్ ఫైల్పై రెండుసార్లు క్లిక్ చేసినప్పుడు మాల్వేర్ ఇన్ఫెక్షన్ ప్రారంభమవుతుంది. ఈ చర్య రిమోట్ సర్వర్ నుండి EMPTYSPACE (దీనిని BrokerLoader లేదా Vetta Loader అని కూడా పిలుస్తారు) డౌన్లోడ్ చేయడానికి బాధ్యత వహించే PowerShell స్క్రిప్ట్ యొక్క అమలును ప్రేరేపిస్తుంది. Vimeoలో హోస్ట్ చేయబడిన ఇంటర్మీడియట్ PowerShell స్క్రిప్ట్ ద్వారా డౌన్లోడ్ సులభతరం చేయబడింది.
Golang, .NET, Node.js మరియు పైథాన్లలో కోడ్ చేయబడిన EMPTYSPACE యొక్క నాలుగు విభిన్న వైవిధ్యాలను పరిశోధకులు గుర్తించారు. పూర్తిగా అమలు చేసిన తర్వాత, ఈ ముప్పు QUIETBOARDగా సూచించబడే బ్యాక్డోర్తో సహా C2 సర్వర్ నుండి HTTP ద్వారా తదుపరి పేలోడ్లను తిరిగి పొందేందుకు ఒక మార్గంగా పనిచేస్తుంది.
అసురక్షిత పేలోడ్ను హోస్ట్ చేయడం కోసం ఆర్స్ టెక్నికా, గిట్హబ్, గిట్ల్యాబ్ మరియు విమియో వంటి ప్రసిద్ధ వెబ్సైట్లను ఉపయోగించడం ఈ దశలోని గుర్తించదగిన అంశం. పరిశోధన ఫలితాల ప్రకారం, ఈ సేవల్లో హోస్ట్ చేయబడిన కంటెంట్ రోజువారీ వినియోగదారులకు ప్రత్యక్ష ప్రమాదాన్ని కలిగించదు, ఎందుకంటే వివిక్త కంటెంట్ పూర్తిగా హానికరం. గతంలో ఈ కంటెంట్తో అనుకోకుండా ఇంటరాక్ట్ అయిన లేదా వీక్షించిన వ్యక్తులు రాజీపడే ప్రమాదం లేదు.
EMPTYSPACE డౌన్లోడర్ ద్వారా అందించబడిన అదనపు బెదిరింపులు
దీనికి విరుద్ధంగా, QUIETBOARD అనేది పైథాన్-ఆధారిత బ్యాక్డోర్, ఇది ఏకపక్ష ఆదేశాలను అమలు చేయడానికి, క్లిప్బోర్డ్కు కాపీ చేయబడిన క్రిప్టో వాలెట్ చిరునామాలను మార్చడానికి, ముప్పు నటుల నియంత్రణలో ఉన్న వాలెట్లకు నిధుల బదిలీలను మళ్లించడానికి, మాల్వేర్లను రీమోవబుల్ డ్రైవ్లకు ప్రచారం చేయడానికి వీలు కల్పించే విభిన్న లక్షణాలతో అమర్చబడింది. , స్క్రీన్షాట్లను క్యాప్చర్ చేయండి మరియు సిస్టమ్ సమాచారాన్ని సేకరించండి.
అంతేకాకుండా, ఈ బ్యాక్డోర్ మాడ్యులర్ విస్తరణకు సామర్ధ్యాన్ని ప్రదర్శిస్తుంది, కాయిన్ మైనర్లు వంటి స్వతంత్ర పైథాన్ మాడ్యూల్లను అమలు చేయడానికి ఇది వీలు కల్పిస్తుంది. ఇది C2 సర్వర్ నుండి పైథాన్ కోడ్ను డైనమిక్గా పొందగలదు మరియు అమలు చేయగలదు.
EMPTYSPACE మరియు QUIETBOARD యొక్క విశ్లేషణ వారి టూల్సెట్ను అభివృద్ధి చేయడంలో ముప్పు నటుల మాడ్యులర్ విధానాన్ని నొక్కి చెబుతుంది. EMPTYSPACE డౌన్లోడ్ యొక్క వివిధ వెర్షన్లను రూపొందించడానికి బహుళ ప్రోగ్రామింగ్ లాంగ్వేజ్లను ఉపయోగించడం మరియు Vimeo వీడియోను తీసివేసినప్పుడు URLని మార్చడం వంటివి ముప్పు నటుల వైపు ప్రయోగాలు మరియు అనుకూలతపై ప్రవృత్తిని ప్రదర్శిస్తాయి.