EMPTYSPACE Downloader zielt auf italienische Opfer ab

UNC4990, ein finanziell motivierter Bedrohungsakteur, nutzt bewaffnete USB-Geräte als erstes Mittel zur Infektion von Organisationen in Italien. Laut einem Bericht von Mandiant, einem Sicherheitsunternehmen, das Google im Jahr 2022 übernommen hat, zielen die Angriffe gezielt auf verschiedene Branchen ab, darunter Gesundheit, Transport, Bauwesen und Logistik.

Die Vorgehensweise von UNC4990 beinhaltet eine weit verbreitete USB-Infektion, gefolgt von der Bereitstellung des EMPTYSPACE-Downloaders. Während dieser Vorgänge verlässt sich die Gruppe auf Websites von Drittanbietern wie GitHub, Vimeo und Ars Technica, um verschlüsselte zusätzliche Phasen zu hosten, die zu Beginn der Ausführungskette über PowerShell heruntergeladen und dekodiert werden.

Wer ist der UNC4990-Bedrohungsakteur?

UNC4990 ist seit Ende 2020 aktiv und wird vermutlich von Italien aus operieren, da die italienische Infrastruktur in großem Umfang für Befehls- und Kontrollzwecke (C2) genutzt wird. Der letztendliche Zweck von UNC4990 bleibt unklar, und es ist ungewiss, ob die Gruppe lediglich als Erstzugangsvermittler für andere Bedrohungsakteure dient. In einem Fall wurde Berichten zufolge nach monatelangen Beaconing-Aktivitäten ein Open-Source-Kryptowährungs-Miner eingesetzt.

EMPTYSPACE-Infektionsmechanismus

Der Infektionsprozess beginnt, wenn ein Opfer auf eine schädliche LNK-Verknüpfungsdatei auf einem austauschbaren USB-Gerät doppelklickt und so die Ausführung eines PowerShell-Skripts auslöst. Dieses Skript ist für das Herunterladen von EMPTYSPACE (auch bekannt als BrokerLoader oder Vetta Loader) von einem Remote-Server über ein zwischengeschaltetes PowerShell-Skript verantwortlich, das auf Vimeo gehostet wird.

Es wurden vier Varianten von EMPTYSPACE identifiziert, geschrieben in Golang, .NET, Node.js und Python. Diese Varianten fungieren als Kanäle zum Abrufen von Payloads der nächsten Stufe über HTTP vom C2-Server, einschließlich einer Hintertür namens QUIETBOARD.

In dieser Phase werden beliebte Websites wie Ars Technica, GitHub, GitLab und Vimeo zum Hosten der bösartigen Nutzlast verwendet. Mandiant-Forscher betonten insbesondere, dass die auf diesen Diensten gehosteten Inhalte keine direkte Gefahr für normale Benutzer darstellten, da die isolierten Inhalte harmlos seien.

QUIETBOARD, eine Python-basierte Hintertür, weist eine breite Palette an Funktionen auf. Es kann beliebige Befehle ausführen, in die Zwischenablage kopierte Krypto-Wallet-Adressen ändern, die Malware auf Wechseldatenträgern verbreiten, Screenshots erfassen und Systeminformationen sammeln. Darüber hinaus verfügt die Hintertür über modulare Erweiterungsmöglichkeiten, die es ihr ermöglichen, unabhängige Python-Module wie Coin-Miner auszuführen und Python-Code dynamisch vom C2-Server abzurufen und auszuführen.