EMPTYSPACE Downloader
Фінансово мотивований загрозник, відомий як UNC4990, використовує озброєні USB-пристрої, щоб націлитися на організації в Італії як початковий вектор зараження. Схоже, ці атаки спрямовані на різні галузі, включаючи охорону здоров’я, транспорт, будівництво та логістику. Операції UNC4990 зазвичай передбачають широке зараження USB з подальшим розгортанням завантажувача EMPTYSPACE.
Під час цих операцій атаки кластер покладається на сторонні веб-сайти, такі як GitHub, Vimeo та інші, для розміщення закодованих додаткових етапів, які він завантажує та декодує через PowerShell на початку ланцюжка виконання.
Зміст
Зловмисники UNC4990 діють протягом багатьох років
UNC4990 діє з кінця 2020 року та, як вважають, працює з Італії, що видно з частого використання італійської інфраструктури для функцій командування та управління (C2). Конкретна роль UNC4990 залишається невизначеною; незрозуміло, чи група лише сприяє первинному доступу для інших учасників. Кінцева мета цього суб’єкта загрози також неоднозначна. Однак є випадок, коли дослідники помітили розгортання майнера криптовалюти з відкритим вихідним кодом після місяців активності маяків.
Раніше дослідники задокументували деталі кампанії на початку грудня 2023 року, де деякі відстежували того самого противника під псевдонімом Nebula Broker.
Ланцюжок атак із використанням завантажувача EMPTYSPACE
Зараження зловмисним програмним забезпеченням починається, коли жертва двічі клацає шкідливий файл ярлика LNK на знімному USB-пристрої. Ця дія запускає виконання сценарію PowerShell, відповідального за завантаження EMPTYSPACE (також відомого як BrokerLoader або Vetta Loader) з віддаленого сервера. Завантаження полегшується за допомогою проміжного сценарію PowerShell, розміщеного на Vimeo.
Дослідники визначили чотири різні варіанти EMPTYSPACE, закодовані на Golang, .NET, Node.js і Python. Після повного розгортання ця загроза функціонує як канал для отримання подальших корисних даних через HTTP із сервера C2, включаючи бекдор, який називається QUIETBOARD.
Вартий уваги аспект цього етапу — використання популярних веб-сайтів, таких як Ars Technica, GitHub, GitLab і Vimeo, для розміщення небезпечного корисного навантаження. Згідно з результатами дослідження, вміст, розміщений на цих сервісах, не становить прямого ризику для звичайних користувачів, оскільки ізольований вміст є цілком безпечним. Особи, які, можливо, ненавмисно взаємодіяли з цим вмістом або переглядали його в минулому, не ризикують бути скомпрометованими.
Додаткові загрози, створені завантажувачем EMPTYSPACE
Навпаки, QUIETBOARD — це бекдор на основі Python, оснащений різноманітним набором функцій, які дозволяють виконувати довільні команди, маніпулювати адресами крипто-гаманців, скопійованими в буфер обміну, для перенаправлення переказів коштів на гаманці під контролем зловмисників, поширювати зловмисне програмне забезпечення на знімні диски. , робити знімки екрана та збирати інформацію про систему.
Крім того, цей бекдор демонструє можливість модульного розширення, що дає змогу запускати незалежні модулі Python, такі як майнер монет. Він також може динамічно отримувати та виконувати код Python із сервера C2.
Аналіз EMPTYSPACE і QUIETBOARD підкреслює модульний підхід учасників загрози до розробки свого набору інструментів. Використання кількох мов програмування для створення різних версій завантажувача EMPTYSPACE і зміна URL-адреси під час видалення відео з Vimeo демонструють схильність до експериментів і адаптивність з боку учасників загрози.
