EMPTYSPACE డౌన్‌లోడర్

UNC4990 అని పిలువబడే ఆర్థికంగా ప్రేరేపించబడిన ముప్పు నటుడు ఇటలీలోని సంస్థలను ప్రారంభ ఇన్‌ఫెక్షన్ వెక్టర్‌గా లక్ష్యంగా చేసుకోవడానికి ఆయుధ USB పరికరాలను ఉపయోగిస్తున్నారు. ఈ దాడులు ఆరోగ్యం, రవాణా, నిర్మాణం మరియు లాజిస్టిక్స్‌తో సహా పలు పరిశ్రమలను లక్ష్యంగా చేసుకున్నట్లు కనిపిస్తోంది. UNC4990 కార్యకలాపాలు సాధారణంగా EMPTYSPACE డౌన్‌లోడర్‌ని విస్తరించడంతో పాటు విస్తృతమైన USB ఇన్‌ఫెక్షన్‌ను కలిగి ఉంటాయి.

ఈ దాడి కార్యకలాపాల సమయంలో, క్లస్టర్ ఎన్‌కోడ్ చేసిన అదనపు దశలను హోస్ట్ చేయడానికి GitHub, Vimeo మరియు ఇతరుల వంటి థర్డ్-పార్టీ వెబ్‌సైట్‌లపై ఆధారపడుతుంది, ఇది అమలు గొలుసు ప్రారంభంలో PowerShell ద్వారా డౌన్‌లోడ్ చేసి డీకోడ్ చేస్తుంది.

UNC4990 థ్రెట్ యాక్టర్స్ సంవత్సరాలుగా చురుకుగా ఉన్నారు

UNC4990 2020 చివరి నుండి సక్రియంగా ఉంది మరియు ఇటలీ నుండి పనిచేస్తుందని నమ్ముతారు, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) ఫంక్షన్‌ల కోసం ఇటాలియన్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను తరచుగా ఉపయోగించడంలో స్పష్టంగా కనిపిస్తుంది. UNC4990 యొక్క నిర్దిష్ట పాత్ర అనిశ్చితంగా ఉంది; ఇతర నటీనటుల కోసం ఈ బృందం కేవలం ప్రారంభ యాక్సెస్‌ను సులభతరం చేస్తుందా అనేది అస్పష్టంగా ఉంది. ఈ బెదిరింపు నటుడి అంతిమ లక్ష్యం కూడా అస్పష్టంగానే ఉంది. ఏది ఏమైనప్పటికీ, నెలల తరబడి బీకనింగ్ కార్యకలాపాలను అనుసరించి ఓపెన్ సోర్స్ క్రిప్టోకరెన్సీ మైనర్ యొక్క విస్తరణను పరిశోధకులు గుర్తించిన సందర్భం ఉంది.

పరిశోధకులు గతంలో డిసెంబర్ 2023 ప్రారంభంలో ప్రచార వివరాలను డాక్యుమెంట్ చేసారు, కొందరు అదే విరోధిని నెబ్యులా బ్రోకర్ పేరుతో ట్రాక్ చేశారు.

ఎటాక్ చైన్ EMPTYSPACE డౌన్‌లోడర్‌ను ఉపయోగిస్తోంది

ఒక బాధితుడు తొలగించగల USB పరికరంలో హానికరమైన LNK షార్ట్‌కట్ ఫైల్‌పై రెండుసార్లు క్లిక్ చేసినప్పుడు మాల్వేర్ ఇన్‌ఫెక్షన్ ప్రారంభమవుతుంది. ఈ చర్య రిమోట్ సర్వర్ నుండి EMPTYSPACE (దీనిని BrokerLoader లేదా Vetta Loader అని కూడా పిలుస్తారు) డౌన్‌లోడ్ చేయడానికి బాధ్యత వహించే PowerShell స్క్రిప్ట్ యొక్క అమలును ప్రేరేపిస్తుంది. Vimeoలో హోస్ట్ చేయబడిన ఇంటర్మీడియట్ PowerShell స్క్రిప్ట్ ద్వారా డౌన్‌లోడ్ సులభతరం చేయబడింది.

Golang, .NET, Node.js మరియు పైథాన్‌లలో కోడ్ చేయబడిన EMPTYSPACE యొక్క నాలుగు విభిన్న వైవిధ్యాలను పరిశోధకులు గుర్తించారు. పూర్తిగా అమలు చేసిన తర్వాత, ఈ ముప్పు QUIETBOARDగా సూచించబడే బ్యాక్‌డోర్‌తో సహా C2 సర్వర్ నుండి HTTP ద్వారా తదుపరి పేలోడ్‌లను తిరిగి పొందేందుకు ఒక మార్గంగా పనిచేస్తుంది.

అసురక్షిత పేలోడ్‌ను హోస్ట్ చేయడం కోసం ఆర్స్ టెక్నికా, గిట్‌హబ్, గిట్‌ల్యాబ్ మరియు విమియో వంటి ప్రసిద్ధ వెబ్‌సైట్‌లను ఉపయోగించడం ఈ దశలోని గుర్తించదగిన అంశం. పరిశోధన ఫలితాల ప్రకారం, ఈ సేవల్లో హోస్ట్ చేయబడిన కంటెంట్ రోజువారీ వినియోగదారులకు ప్రత్యక్ష ప్రమాదాన్ని కలిగించదు, ఎందుకంటే వివిక్త కంటెంట్ పూర్తిగా హానికరం. గతంలో ఈ కంటెంట్‌తో అనుకోకుండా ఇంటరాక్ట్ అయిన లేదా వీక్షించిన వ్యక్తులు రాజీపడే ప్రమాదం లేదు.

EMPTYSPACE డౌన్‌లోడర్ ద్వారా అందించబడిన అదనపు బెదిరింపులు

దీనికి విరుద్ధంగా, QUIETBOARD అనేది పైథాన్-ఆధారిత బ్యాక్‌డోర్, ఇది ఏకపక్ష ఆదేశాలను అమలు చేయడానికి, క్లిప్‌బోర్డ్‌కు కాపీ చేయబడిన క్రిప్టో వాలెట్ చిరునామాలను మార్చడానికి, ముప్పు నటుల నియంత్రణలో ఉన్న వాలెట్‌లకు నిధుల బదిలీలను మళ్లించడానికి, మాల్వేర్‌లను రీమోవబుల్ డ్రైవ్‌లకు ప్రచారం చేయడానికి వీలు కల్పించే విభిన్న లక్షణాలతో అమర్చబడింది. , స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయండి మరియు సిస్టమ్ సమాచారాన్ని సేకరించండి.

అంతేకాకుండా, ఈ బ్యాక్‌డోర్ మాడ్యులర్ విస్తరణకు సామర్ధ్యాన్ని ప్రదర్శిస్తుంది, కాయిన్ మైనర్లు వంటి స్వతంత్ర పైథాన్ మాడ్యూల్‌లను అమలు చేయడానికి ఇది వీలు కల్పిస్తుంది. ఇది C2 సర్వర్ నుండి పైథాన్ కోడ్‌ను డైనమిక్‌గా పొందగలదు మరియు అమలు చేయగలదు.

EMPTYSPACE మరియు QUIETBOARD యొక్క విశ్లేషణ వారి టూల్‌సెట్‌ను అభివృద్ధి చేయడంలో ముప్పు నటుల మాడ్యులర్ విధానాన్ని నొక్కి చెబుతుంది. EMPTYSPACE డౌన్‌లోడ్ యొక్క వివిధ వెర్షన్‌లను రూపొందించడానికి బహుళ ప్రోగ్రామింగ్ లాంగ్వేజ్‌లను ఉపయోగించడం మరియు Vimeo వీడియోను తీసివేసినప్పుడు URLని మార్చడం వంటివి ముప్పు నటుల వైపు ప్రయోగాలు మరియు అనుకూలతపై ప్రవృత్తిని ప్రదర్శిస్తాయి.