EMPTYSPACE İndirici
UNC4990 olarak bilinen finansal motivasyona sahip bir tehdit aktörü, ilk enfeksiyon vektörü olarak İtalya'daki kuruluşları hedeflemek için silahlı USB cihazlarından yararlanıyor. Saldırıların sağlık, ulaşım, inşaat ve lojistik dahil olmak üzere birçok sektörü hedef aldığı görülüyor. UNC4990 işlemleri genellikle yaygın USB enfeksiyonunu ve ardından EMPTYSPACE indiricisinin dağıtımını içerir.
Bu saldırı operasyonları sırasında küme, yürütme zincirinin başlarında PowerShell aracılığıyla indirip kodunu çözdüğü kodlanmış ek aşamaları barındırmak için GitHub, Vimeo ve diğerleri gibi üçüncü taraf web sitelerine güvenir.
İçindekiler
UNC4990 Tehdit Aktörleri Yıllardır Faaliyet Gösteriyor
UNC4990, 2020'nin sonlarından bu yana aktiftir ve İtalya'dan faaliyet gösterdiğine inanılmaktadır; bu, komuta ve kontrol (C2) işlevleri için İtalyan altyapısını sık sık kullanmasında açıkça görülmektedir. UNC4990'ın özel rolü belirsizliğini koruyor; Grubun yalnızca diğer aktörlerin ilk erişimini kolaylaştırıp kolaylaştırmadığı belli değil. Bu tehdit aktörünün nihai amacı da belirsizdir. Bununla birlikte, araştırmacıların aylarca süren işaretleme faaliyetinin ardından açık kaynaklı bir kripto para madencisinin konuşlandırıldığını fark ettikleri bir örnek var.
Araştırmacılar daha önce kampanyanın ayrıntılarını Aralık 2023'ün başlarında belgelemişti; bazıları aynı düşmanı Nebula Broker adı altında takip ediyordu.
EMPTYSPACE İndiricisini Kullanan Saldırı Zinciri
Kötü amaçlı yazılım bulaşması, kurbanın çıkarılabilir bir USB aygıtındaki kötü amaçlı bir LNK kısayol dosyasına çift tıkladığında başlıyor. Bu eylem, uzak bir sunucudan EMPTYSPACE'in (BrokerLoader veya Vetta Loader olarak da bilinir) indirilmesinden sorumlu bir PowerShell betiğinin yürütülmesini tetikler. İndirme, Vimeo'da barındırılan bir ara PowerShell betiği aracılığıyla kolaylaştırılır.
Araştırmacılar, Golang, .NET, Node.js ve Python'da kodlanmış dört farklı EMPTYSPACE çeşidi belirlediler. Tamamen konuşlandırıldığında bu tehdit, QUIETBOARD olarak adlandırılan bir arka kapı da dahil olmak üzere C2 sunucusundan HTTP üzerinden sonraki yükleri almak için bir kanal görevi görüyor.
Bu aşamanın dikkate değer bir yönü, güvenli olmayan yükü barındırmak için Ars Technica, GitHub, GitLab ve Vimeo gibi popüler web sitelerinin kullanılmasını içerir. Araştırma bulgularına göre, bu hizmetlerde barındırılan içerik, izole edilmiş içerik tamamen zararsız olduğundan sıradan kullanıcılar için doğrudan bir risk oluşturmuyor. Geçmişte istemeden bu içerikle etkileşime girmiş veya bu içeriği görüntülemiş olabilecek kişiler risk altında değildir.
EMPTYSPACE İndiricisinin Sağladığı Ek Tehditler
Buna karşılık QUIETBOARD, rastgele komutları yürütmesine, fon transferlerini tehdit aktörlerinin kontrolü altındaki cüzdanlara yönlendirmek için panoya kopyalanan kripto cüzdan adreslerini manipüle etmesine, kötü amaçlı yazılımları çıkarılabilir sürücülere yaymasına olanak tanıyan çeşitli özelliklerle donatılmış Python tabanlı bir arka kapıdır. , ekran görüntüleri yakalayın ve sistem bilgilerini toplayın.
Dahası, bu arka kapı, madeni para madencileri gibi bağımsız Python modüllerini çalıştırabilmesini sağlayan modüler genişleme yeteneği sergiliyor. Ayrıca Python kodunu C2 sunucusundan dinamik olarak alıp çalıştırabilir.
EMPTYSPACE ve QUIETBOARD'un analizi, tehdit aktörlerinin araç setlerini geliştirmedeki modüler yaklaşımının altını çiziyor. EMPTYSPACE indiricisinin çeşitli sürümlerini oluşturmak için birden fazla programlama dilinin kullanılması ve Vimeo videosu yayından kaldırıldığında URL'nin değiştirilmesi, tehdit aktörlerinin deneysellik ve uyarlanabilirlik konusundaki eğilimini gösteriyor.
