EMPTYSPACE Downloader
Ang isang financially motivated threat actor na kilala bilang UNC4990 ay gumagamit ng weaponized USB device upang i-target ang mga organisasyon sa Italy bilang isang paunang vector ng impeksyon. Ang mga pag-atake ay lumilitaw na naka-target sa maraming industriya, kabilang ang kalusugan, transportasyon, konstruksiyon, at logistik. Ang mga operasyon ng UNC4990 sa pangkalahatan ay nagsasangkot ng malawakang impeksyon sa USB na sinusundan ng pag-deploy ng EMPTYSPACE downloader.
Sa panahon ng mga operasyong pag-atake na ito, umaasa ang cluster sa mga third-party na website tulad ng GitHub, Vimeo, at iba pa upang mag-host ng mga karagdagang yugto na naka-encode, na dina-download at nade-decode nito sa pamamagitan ng PowerShell nang maaga sa execution chain.
Talaan ng mga Nilalaman
Ang UNC4990 Threat Actor ay Naging Aktibo sa loob ng maraming taon
Ang UNC4990 ay naging aktibo mula noong huling bahagi ng 2020 at pinaniniwalaang gumagana mula sa Italya, na makikita sa madalas nitong paggamit ng imprastraktura ng Italyano para sa mga function ng command-and-control (C2). Ang tiyak na papel ng UNC4990 ay nananatiling hindi tiyak; hindi malinaw kung pinadali lang ng grupo ang paunang pag-access para sa ibang mga aktor. Ang tunay na layunin ng banta ng aktor na ito ay hindi maliwanag din. Gayunpaman, mayroong isang pagkakataon kung saan napansin ng mga mananaliksik ang pag-deploy ng isang open-source na cryptocurrency na minero kasunod ng mga buwan ng beaconing activity.
Nauna nang naidokumento ng mga mananaliksik ang mga detalye ng kampanya noong unang bahagi ng Disyembre 2023, na may ilang sumusubaybay sa parehong kalaban sa ilalim ng moniker na Nebula Broker.
Ang Attack Chain na Gumagamit ng EMPTYSPACE Downloader
Nagsisimula ang impeksyon sa malware kapag nag-double click ang biktima sa isang malisyosong LNK shortcut file sa isang naaalis na USB device. Ang pagkilos na ito ay nagti-trigger ng pagpapatupad ng isang PowerShell script na responsable para sa pag-download ng EMPTYSPACE (kilala rin bilang BrokerLoader o Vetta Loader) mula sa isang malayuang server. Ang pag-download ay pinadali sa pamamagitan ng isang intermediate na PowerShell script na naka-host sa Vimeo.
Natukoy ng mga mananaliksik ang apat na natatanging variant ng EMPTYSPACE, na naka-code sa Golang, .NET, Node.js, at Python. Kapag ganap na na-deploy, ang banta na ito ay gumagana bilang isang conduit para sa pagkuha ng mga kasunod na payload sa HTTP mula sa C2 server, kabilang ang isang backdoor na tinutukoy bilang QUIETBOARD.
Ang isang kapansin-pansing aspeto ng yugtong ito ay kinabibilangan ng paggamit ng mga sikat na website tulad ng Ars Technica, GitHub, GitLab, at Vimeo para sa pagho-host ng hindi ligtas na kargamento. Ayon sa mga natuklasan sa pananaliksik, ang nilalamang naka-host sa mga serbisyong ito ay hindi nagdudulot ng direktang panganib sa mga pang-araw-araw na gumagamit, dahil ang nakahiwalay na nilalaman ay ganap na benign. Ang mga indibidwal na maaaring hindi sinasadyang nakipag-ugnayan o tumingin sa nilalamang ito sa nakaraan ay hindi nanganganib na makompromiso.
Mga Karagdagang Banta na Inihahatid ng EMPTYSPACE Downloader
Sa kabaligtaran, ang QUIETBOARD ay isang backdoor na nakabatay sa Python na nilagyan ng magkakaibang hanay ng mga tampok na nagbibigay-daan dito upang magsagawa ng mga arbitrary na utos, manipulahin ang mga address ng crypto wallet na kinopya sa clipboard para sa pag-redirect ng mga paglilipat ng pondo sa mga wallet sa ilalim ng kontrol ng mga aktor ng pagbabanta, pagpapalaganap ng malware sa mga naaalis na drive , kumuha ng mga screenshot, at mangolekta ng impormasyon ng system.
Bukod dito, ang backdoor na ito ay nagpapakita ng kakayahan para sa modular expansion, na nagpapagana nito na magpatakbo ng mga independiyenteng Python modules gaya ng mga coin miners. Maaari rin itong dynamic na kumuha at mag-execute ng Python code mula sa C2 server.
Ang pagsusuri ng EMPTYSPACE at QUIETBOARD ay binibigyang-diin ang modular na diskarte ng mga aktor sa pagbabanta sa pagbuo ng kanilang toolset. Ang paggamit ng maramihang mga programming language upang lumikha ng iba't ibang bersyon ng EMPTYSPACE downloader at ang pagbabago ng URL noong inalis ang Vimeo video ay nagpapakita ng pagkahilig sa eksperimento at kakayahang umangkop sa bahagi ng mga aktor ng pagbabanta.
