EMPTYSPACE Downloader
Một kẻ đe dọa có động cơ tài chính có tên UNC4990 đang tận dụng các thiết bị USB được trang bị vũ khí để nhắm mục tiêu vào các tổ chức ở Ý như một vật truyền lây nhiễm ban đầu. Các cuộc tấn công dường như nhắm vào nhiều ngành công nghiệp, bao gồm y tế, giao thông vận tải, xây dựng và hậu cần. Các hoạt động của UNC4990 thường liên quan đến việc lây nhiễm USB trên diện rộng, sau đó là việc triển khai trình tải xuống EMPTYSPACE.
Trong các hoạt động tấn công này, cụm này dựa vào các trang web của bên thứ ba như GitHub, Vimeo và các trang web khác để lưu trữ các giai đoạn bổ sung được mã hóa mà nó tải xuống và giải mã thông qua PowerShell ngay từ đầu trong chuỗi thực thi.
Mục lục
Những kẻ đe dọa UNC4990 đã hoạt động trong nhiều năm
UNC4990 đã hoạt động từ cuối năm 2020 và được cho là hoạt động từ Ý, điều này thể hiện rõ ở việc họ thường xuyên sử dụng cơ sở hạ tầng của Ý cho các chức năng chỉ huy và kiểm soát (C2). Vai trò cụ thể của UNC4990 vẫn chưa chắc chắn; không rõ liệu nhóm có chỉ tạo điều kiện tiếp cận ban đầu cho các tác nhân khác hay không. Mục tiêu cuối cùng của tác nhân đe dọa này cũng không rõ ràng. Tuy nhiên, có một trường hợp mà các nhà nghiên cứu ghi nhận việc triển khai một công cụ khai thác tiền điện tử nguồn mở sau nhiều tháng hoạt động báo hiệu.
Các nhà nghiên cứu trước đó đã ghi lại thông tin chi tiết về chiến dịch vào đầu tháng 12 năm 2023, trong đó một số người theo dõi kẻ thù tương tự với biệt danh Nebula Broker.
Chuỗi tấn công sử dụng Trình tải xuống EMPTYSPACE
Quá trình lây nhiễm phần mềm độc hại bắt đầu khi nạn nhân nhấp đúp vào tệp lối tắt LNK độc hại trên thiết bị USB di động. Hành động này kích hoạt việc thực thi tập lệnh PowerShell chịu trách nhiệm tải xuống EMPTYSPACE (còn được gọi là BrokerLoader hoặc Vetta Loader) từ máy chủ từ xa. Việc tải xuống được hỗ trợ thông qua tập lệnh PowerShell trung gian được lưu trữ trên Vimeo.
Các nhà nghiên cứu đã xác định được bốn biến thể riêng biệt của EMPTYSPACE, được mã hóa bằng Golang, .NET, Node.js và Python. Sau khi được triển khai đầy đủ, mối đe dọa này hoạt động như một đường dẫn để truy xuất các tải trọng tiếp theo qua HTTP từ máy chủ C2, bao gồm cả một cửa sau được gọi là QUIETBOARD.
Một khía cạnh đáng chú ý của giai đoạn này liên quan đến việc sử dụng các trang web phổ biến như Ars Technica, GitHub, GitLab và Vimeo để lưu trữ tải trọng không an toàn. Theo kết quả nghiên cứu, nội dung được lưu trữ trên các dịch vụ này không gây rủi ro trực tiếp cho người dùng hàng ngày vì nội dung riêng biệt hoàn toàn vô hại. Những cá nhân có thể đã vô tình tương tác hoặc xem nội dung này trước đây sẽ không có nguy cơ bị xâm phạm.
Các mối đe dọa bổ sung do Trình tải xuống EMPTYSPACE cung cấp
Ngược lại, QUIETBOARD là một cửa hậu dựa trên Python được trang bị một bộ tính năng đa dạng cho phép nó thực thi các lệnh tùy ý, thao túng các địa chỉ ví tiền điện tử được sao chép vào bảng tạm để chuyển hướng chuyển tiền sang ví dưới sự kiểm soát của tác nhân đe dọa, truyền phần mềm độc hại đến các ổ đĩa di động , chụp ảnh màn hình và thu thập thông tin hệ thống.
Hơn nữa, cửa hậu này thể hiện khả năng mở rộng mô-đun, cho phép nó chạy các mô-đun Python độc lập như công cụ khai thác tiền xu. Nó cũng có thể tự động tìm nạp và thực thi mã Python từ máy chủ C2.
Phân tích của EMPTYSPACE và QUIETBOARD nhấn mạnh cách tiếp cận mô-đun của các tác nhân đe dọa trong việc phát triển bộ công cụ của chúng. Việc sử dụng nhiều ngôn ngữ lập trình để tạo ra nhiều phiên bản khác nhau của trình tải xuống EMPTYSPACE và việc thay đổi URL khi video Vimeo bị gỡ xuống thể hiện thiên hướng thử nghiệm và khả năng thích ứng của những kẻ đe dọa.
