โปรแกรมดาวน์โหลด EMPTYSPACE
ผู้คุกคามที่มีแรงจูงใจทางการเงินที่รู้จักกันในชื่อ UNC4990 กำลังใช้ประโยชน์จากอุปกรณ์ USB ที่เป็นอาวุธเพื่อกำหนดเป้าหมายองค์กรในอิตาลีเป็นพาหะการติดเชื้อระยะแรก การโจมตีดังกล่าวดูเหมือนจะมุ่งเป้าไปที่หลายอุตสาหกรรม รวมถึงสุขภาพ การขนส่ง การก่อสร้าง และโลจิสติกส์ โดยทั่วไปการดำเนินงานของ UNC4990 เกี่ยวข้องกับการติดไวรัส USB อย่างกว้างขวาง ตามมาด้วยการติดตั้งโปรแกรมดาวน์โหลด EMPTYSPACE
ในระหว่างการโจมตี คลัสเตอร์อาศัยเว็บไซต์ของบุคคลที่สาม เช่น GitHub, Vimeo และอื่นๆ เพื่อโฮสต์ขั้นตอนเพิ่มเติมที่เข้ารหัส ซึ่งจะดาวน์โหลดและถอดรหัสผ่าน PowerShell ในช่วงเริ่มต้นของห่วงโซ่การดำเนินการ
สารบัญ
ผู้คุกคาม UNC4990 มีการใช้งานมาหลายปีแล้ว
UNC4990 เปิดใช้งานตั้งแต่ปลายปี 2020 และเชื่อกันว่าปฏิบัติการจากอิตาลี ซึ่งเห็นได้จากการใช้โครงสร้างพื้นฐานของอิตาลีบ่อยครั้งสำหรับฟังก์ชันสั่งการและควบคุม (C2) บทบาทเฉพาะของ UNC4990 ยังคงไม่แน่นอน ยังไม่ชัดเจนว่ากลุ่มนี้อำนวยความสะดวกในการเข้าถึงครั้งแรกสำหรับนักแสดงคนอื่นๆ หรือไม่ วัตถุประสงค์สูงสุดของตัวแสดงภัยคุกคามนี้ก็คลุมเครือเช่นกัน อย่างไรก็ตาม มีกรณีที่นักวิจัยตั้งข้อสังเกตถึงการใช้งานเครื่องขุดคริปโตเคอเรนซีแบบโอเพ่นซอร์สหลังจากกิจกรรมบีคอนเป็นเวลาหลายเดือน
ก่อนหน้านี้นักวิจัยเคยบันทึกรายละเอียดของการรณรงค์เมื่อต้นเดือนธันวาคม พ.ศ. 2566 โดยมีบางส่วนติดตามศัตรูรายเดียวกันภายใต้ชื่อเล่นว่า Nebula Broker
ห่วงโซ่การโจมตีที่ใช้ EMPTYSPACE Downloader
การติดมัลแวร์เริ่มต้นขึ้นเมื่อเหยื่อคลิกสองครั้งที่ไฟล์ทางลัด LNK ที่เป็นอันตรายบนอุปกรณ์ USB แบบถอดได้ การดำเนินการนี้จะทริกเกอร์การทำงานของสคริปต์ PowerShell ที่รับผิดชอบในการดาวน์โหลด EMPTYSPACE (หรือที่เรียกว่า BrokerLoader หรือ Vetta Loader) จากเซิร์ฟเวอร์ระยะไกล การดาวน์โหลดทำได้ผ่านสคริปต์ PowerShell ระดับกลางที่โฮสต์บน Vimeo
นักวิจัยได้ระบุ EMPTYSPACE สี่รูปแบบที่แตกต่างกัน ซึ่งมีโค้ดใน Golang, .NET, Node.js และ Python เมื่อปรับใช้อย่างสมบูรณ์ ภัยคุกคามนี้จะทำหน้าที่เป็นช่องทางในการดึงข้อมูลเพย์โหลดที่ตามมาผ่าน HTTP จากเซิร์ฟเวอร์ C2 รวมถึงแบ็คดอร์ที่เรียกว่า QUIETBOARD
ด้านที่น่าสังเกตของระยะนี้เกี่ยวข้องกับการใช้เว็บไซต์ยอดนิยมเช่น Ars Technica, GitHub, GitLab และ Vimeo เพื่อโฮสต์เพย์โหลดที่ไม่ปลอดภัย จากผลการวิจัย เนื้อหาที่โฮสต์ในบริการเหล่านี้ไม่ก่อให้เกิดความเสี่ยงโดยตรงต่อผู้ใช้ในชีวิตประจำวัน เนื่องจากเนื้อหาที่แยกออกมานั้นไม่เป็นพิษเป็นภัยโดยสิ้นเชิง บุคคลที่อาจมีปฏิสัมพันธ์หรือดูเนื้อหานี้โดยไม่ได้ตั้งใจในอดีตจะไม่เสี่ยงต่อการประนีประนอม
ภัยคุกคามเพิ่มเติมที่ส่งมาจาก EMPTYSPACE Downloader
ในทางตรงกันข้าม QUIETBOARD เป็นแบ็คดอร์ที่ใช้ Python ที่มาพร้อมกับชุดคุณสมบัติที่หลากหลาย ทำให้สามารถรันคำสั่งที่กำหนดเองได้ จัดการที่อยู่กระเป๋าเงินคริปโตที่คัดลอกไปยังคลิปบอร์ดเพื่อเปลี่ยนเส้นทางการโอนเงินไปยังกระเป๋าเงินภายใต้การควบคุมของผู้คุกคาม เผยแพร่มัลแวร์ไปยังไดรฟ์แบบถอดได้ จับภาพหน้าจอและรวบรวมข้อมูลระบบ
นอกจากนี้ แบ็คดอร์นี้ยังแสดงความสามารถในการขยายโมดูลาร์ ทำให้สามารถรันโมดูล Python อิสระ เช่น เครื่องขุดเหรียญ นอกจากนี้ยังสามารถดึงและรันโค้ด Python จากเซิร์ฟเวอร์ C2 แบบไดนามิกได้อีกด้วย
การวิเคราะห์ EMPTYSPACE และ QUIETBOARD เน้นย้ำแนวทางโมดูลาร์ของผู้แสดงภัยคุกคามในการพัฒนาชุดเครื่องมือของตน การใช้ภาษาโปรแกรมหลายภาษาเพื่อสร้างโปรแกรมดาวน์โหลด EMPTYSPACE เวอร์ชันต่างๆ และการเปลี่ยนแปลง URL เมื่อวิดีโอ Vimeo ถูกลบออก แสดงให้เห็นถึงความชื่นชอบในการทดลองและการปรับตัวในส่วนของผู้คุกคาม