EMPTYSPACE Downloader retter sig mod italienske ofre

UNC4990, en økonomisk motiveret trusselsaktør, bruger bevæbnede USB-enheder som et første middel til at inficere organisationer i Italien. Ifølge en rapport fra Mandiant, et sikkerhedsfirma, som Google købte i 2022, er angrebene specifikt rettet mod forskellige industrier, herunder sundhed, transport, byggeri og logistik.

UNC4990's modus operandi involverer en udbredt USB-infektion efterfulgt af implementeringen af EMPTYSPACE-downloaderen. Under disse operationer er gruppen afhængig af tredjepartswebsteder som GitHub, Vimeo og Ars Technica til at være vært for kodede yderligere stadier, som downloades og afkodes via PowerShell tidligt i udførelseskæden.

Hvem er UNC4990-trusselsskuespilleren?

UNC4990, der har været aktiv siden slutningen af 2020, menes at operere fra Italien på grund af dens omfattende brug af italiensk infrastruktur til kommando-og-kontrol (C2) formål. Det endelige formål med UNC4990 er fortsat uklart, og det er usikkert, om gruppen udelukkende tjener som en indledende adgangsfacilitator for andre trusselsaktører. I et tilfælde blev en open-source cryptocurrency-minearbejder angiveligt indsat efter måneders beaconing-aktivitet.

EMPTYSPACE Infektionsmekanisme

Infektionsprocessen begynder, når et offer dobbeltklikker på en ondsindet LNK-genvejsfil på en flytbar USB-enhed, hvilket udløser eksekveringen af et PowerShell-script. Dette script er ansvarligt for at downloade EMPTYSPACE (også kendt som BrokerLoader eller Vetta Loader) fra en fjernserver gennem et mellemliggende PowerShell-script hostet på Vimeo.

Fire varianter af EMPTYSPACE er blevet identificeret, skrevet i Golang, .NET, Node.js og Python. Disse varianter fungerer som kanaler til at hente næste trins nyttelast over HTTP fra C2-serveren, inklusive en bagdør ved navn QUIETBOARD.

I denne fase bruges populære websteder som Ars Technica, GitHub, GitLab og Vimeo til at hoste den ondsindede nyttelast. Mandiant-forskere understregede især, at indholdet på disse tjenester ikke udgør nogen direkte risiko for almindelige brugere, da det isolerede indhold var godartet.

QUIETBOARD, en Python-baseret bagdør, udviser en bred vifte af funktioner. Det kan udføre vilkårlige kommandoer, ændre crypto wallet-adresser kopieret til udklipsholderen, udbrede malwaren til flytbare drev, fange skærmbilleder og indsamle systemoplysninger. Derudover har bagdøren modulære udvidelsesmuligheder, hvilket gør den i stand til at køre uafhængige Python-moduler såsom møntminere og dynamisk hente og eksekvere Python-kode fra C2-serveren.