EMPTYSPACE Downloader

一個名為 UNC4990 的出於經濟動機的威脅行為者正在利用武器化 USB 設備作為初始感染媒介來瞄準義大利的組織。這些攻擊似乎針對多個行業，包括衛生、交通、建築和物流。 UNC4990 操作通常涉及廣泛的 USB 感染，然後部署 EMPTYSPACE 下載程式。

在這些攻擊操作期間，叢集會依賴第三方網站（例如 GitHub、Vimeo 等）來託管編碼的附加階段，並在執行鏈的早期透過 PowerShell 下載和解碼。

UNC4990 威脅參與者多年來一直活躍

UNC4990 自 2020 年底以來一直活躍，據信在義大利運營，這一點從其頻繁使用義大利基礎設施來實現指揮與控制 (C2) 功能中可見一斑。 UNC4990的具體作用仍不確定；目前還不清楚該組織是否只是為其他行為者的初步接觸提供便利。該威脅行為者的最終目標也很模糊。然而，有一個例子，研究人員注意到在幾個月的信標活動之後部署了開源加密貨幣挖礦程式。

研究人員此前曾在 2023 年 12 月初記錄過該活動的詳細信息，其中一些人以 Nebula Broker 的名義追踪了同一對手。

使用 EMPTYSPACE 下載器的攻擊鏈

當受害者雙擊可移動 USB 裝置上的惡意 LNK 捷徑檔案時，就會啟動惡意軟體感染。此操作會觸發 PowerShell 腳本的執行，該腳本負責從遠端伺服器下載 EMPTYSPACE（也稱為 BrokerLoader 或 Vetta Loader）。透過 Vimeo 上託管的中間 PowerShell 腳本來促進下載。

研究人員發現了 EMPTYSPACE 的四種不同變體，分別以 Golang、.NET、Node.js 和 Python 編碼。一旦完全部署，此威脅將充當透過 HTTP 從 C2 伺服器檢索後續有效負載的管道，其中包括稱為 QUIETBOARD 的後門。

此階段值得注意的一個方面是利用 Ars Technica、GitHub、GitLab 和 Vimeo 等流行網站來託管不安全的有效負載。根據研究結果，這些服務上託管的內容不會對日常用戶構成直接風險，因為孤立的內容完全是良性的。過去可能無意中與此內容互動或查看過此內容的個人不會面臨受到損害的風險。

EMPTYSPACE 下載程式帶來的其他威脅

相較之下，QUIETBOARD 是一個基於Python 的後門，配備了多種功能，使其能夠執行任意命令、操縱複製到剪貼簿的加密錢包地址，以將資金轉移重定向到威脅行為者控制下的錢包、將惡意軟體傳播到可移動磁碟機、擷取螢幕截圖並收集系統資訊。

此外，該後門還具有模組化擴展能力，可以運行獨立的Python模組，例如挖礦機等。它還可以從 C2 伺服器動態取得並執行 Python 程式碼。

對 EMPTYSPACE 和 QUIETBOARD 的分析強調了威脅行為者在開發其工具集時所採用的模組化方法。利用多種程式語言創建各種版本的 EMPTYSPACE 下載器，以及在 Vimeo 影片被刪除時更改 URL，這表明威脅行為者對實驗和適應能力的偏好。