EMPTYSPACE Downloader

一个名为 UNC4990 的出于经济动机的威胁行为者正在利用武器化 USB 设备作为初始感染媒介来瞄准意大利的组织。这些攻击似乎针对多个行业，包括卫生、交通、建筑和物流。 UNC4990 操作通常涉及广泛的 USB 感染，然后部署 EMPTYSPACE 下载程序。

在这些攻击操作期间，集群依赖第三方网站（例如 GitHub、Vimeo 等）来托管编码的附加阶段，并在执行链的早期通过 PowerShell 下载和解码。

UNC4990 威胁参与者多年来一直活跃

UNC4990 自 2020 年底以来一直活跃，据信在意大利运营，这一点从其频繁使用意大利基础设施来实现指挥与控制 (C2) 功能中可见一斑。 UNC4990的具体作用仍不确定；目前还不清楚该组织是否只是为其他行为者的初步接触提供便利。该威胁行为者的最终目标也很模糊。然而，有一个例子，研究人员注意到在几个月的信标活动之后部署了开源加密货币挖矿程序。

研究人员此前曾在 2023 年 12 月上旬记录过该活动的详细信息，其中一些人以 Nebula Broker 的名义追踪了同一对手。

使用 EMPTYSPACE 下载器的攻击链

当受害者双击可移动 USB 设备上的恶意 LNK 快捷方式文件时，就会启动恶意软件感染。此操作会触发 PowerShell 脚本的执行，该脚本负责从远程服务器下载 EMPTYSPACE（也称为 BrokerLoader 或 Vetta Loader）。通过 Vimeo 上托管的中间 PowerShell 脚本来促进下载。

研究人员发现了 EMPTYSPACE 的四种不同变体，分别用 Golang、.NET、Node.js 和 Python 编码。一旦完全部署，此威胁将充当通过 HTTP 从 C2 服务器检索后续有效负载的渠道，其中包括称为 QUIETBOARD 的后门。

此阶段值得注意的一个方面是利用 Ars Technica、GitHub、GitLab 和 Vimeo 等流行网站来托管不安全的有效负载。根据研究结果，这些服务上托管的内容不会对日常用户构成直接风险，因为孤立的内容完全是良性的。过去可能无意中与此内容互动或查看过此内容的个人不会面临受到损害的风险。

EMPTYSPACE 下载程序带来的其他威胁

相比之下，QUIETBOARD 是一个基于 Python 的后门，配备了多种功能，使其能够执行任意命令、操纵复制到剪贴板的加密钱包地址，以将资金转移重定向到威胁行为者控制下的钱包、将恶意软件传播到可移动驱动器、捕获屏幕截图并收集系统信息。

此外，该后门还具有模块化扩展能力，可以运行独立的Python模块，例如挖矿机等。它还可以从 C2 服务器动态获取并执行 Python 代码。

对 EMPTYSPACE 和 QUIETBOARD 的分析强调了威胁行为者在开发其工具集时采用的模块化方法。利用多种编程语言创建各种版本的 EMPTYSPACE 下载器，以及在 Vimeo 视频被删除时更改 URL，这表明威胁行为者对实验和适应能力的偏好。