Το πρόγραμμα λήψης EMPTYSPACE στοχεύει Ιταλικά θύματα
Η UNC4990, ένας παράγοντας απειλών με οικονομικά κίνητρα, χρησιμοποιεί οπλισμένες συσκευές USB ως αρχικό μέσο μόλυνσης οργανισμών στην Ιταλία. Σύμφωνα με μια αναφορά από τη Mandiant, μια εταιρεία ασφαλείας που εξαγόρασε η Google το 2022, οι επιθέσεις στοχεύουν συγκεκριμένα διάφορους κλάδους, όπως η υγεία, οι μεταφορές, οι κατασκευές και η εφοδιαστική.
Ο τρόπος λειτουργίας του UNC4990 περιλαμβάνει μια εκτεταμένη μόλυνση USB που ακολουθείται από την ανάπτυξη του προγράμματος λήψης EMPTYSPACE. Κατά τη διάρκεια αυτών των λειτουργιών, η ομάδα βασίζεται σε ιστότοπους τρίτων όπως το GitHub, το Vimeo και το Ars Technica για να φιλοξενήσουν κωδικοποιημένα πρόσθετα στάδια, τα οποία κατεβαίνουν και αποκωδικοποιούνται μέσω του PowerShell στην αρχή της αλυσίδας εκτέλεσης.
Ποιος είναι ο ηθοποιός απειλών UNC4990;
Ενεργό από τα τέλη του 2020, το UNC4990 πιστεύεται ότι λειτουργεί από την Ιταλία, δεδομένης της εκτεταμένης χρήσης της ιταλικής υποδομής για σκοπούς διοίκησης και ελέγχου (C2). Ο απώτερος σκοπός του UNC4990 παραμένει ασαφής και είναι αβέβαιο εάν η ομάδα χρησιμεύει αποκλειστικά ως αρχικός διευκολυντής πρόσβασης για άλλους παράγοντες απειλής. Σε μια περίπτωση, ένας εξορύκτης κρυπτονομισμάτων ανοιχτού κώδικα φέρεται να αναπτύχθηκε μετά από μήνες δραστηριότητας beaconing.
EMPTYSPACE Μηχανισμός μόλυνσης
Η διαδικασία μόλυνσης ξεκινά όταν ένα θύμα κάνει διπλό κλικ σε ένα κακόβουλο αρχείο συντόμευσης LNK σε μια αφαιρούμενη συσκευή USB, ενεργοποιώντας την εκτέλεση ενός σεναρίου PowerShell. Αυτό το σενάριο είναι υπεύθυνο για τη λήψη του EMPTYSPACE (γνωστό και ως BrokerLoader ή Vetta Loader) από έναν απομακρυσμένο διακομιστή μέσω ενός ενδιάμεσου σεναρίου PowerShell που φιλοξενείται στο Vimeo.
Έχουν εντοπιστεί τέσσερις παραλλαγές του EMPTYSPACE, γραμμένες σε Golang, .NET, Node.js και Python. Αυτές οι παραλλαγές λειτουργούν ως αγωγοί για τη λήψη ωφέλιμων φορτίων επόμενου σταδίου μέσω HTTP από τον διακομιστή C2, συμπεριλαμβανομένης μιας κερκόπορτας που ονομάζεται QUIETBOARD.
Κατά τη διάρκεια αυτής της φάσης, δημοφιλείς ιστότοποι όπως οι Ars Technica, GitHub, GitLab και Vimeo χρησιμοποιούνται για τη φιλοξενία του κακόβουλου ωφέλιμου φορτίου. Συγκεκριμένα, οι ερευνητές της Mandiant τόνισαν ότι το περιεχόμενο που φιλοξενείται σε αυτές τις υπηρεσίες δεν ενέχει άμεσο κίνδυνο για τους καθημερινούς χρήστες, καθώς το απομονωμένο περιεχόμενο ήταν καλοπροαίρετο.
Το QUIETBOARD, ένα backdoor που βασίζεται σε Python, παρουσιάζει ένα ευρύ φάσμα χαρακτηριστικών. Μπορεί να εκτελεί αυθαίρετες εντολές, να τροποποιεί τις διευθύνσεις κρυπτογραφικού πορτοφολιού που έχουν αντιγραφεί στο πρόχειρο, να διαδίδει το κακόβουλο λογισμικό σε αφαιρούμενες μονάδες δίσκου, να καταγράφει στιγμιότυπα οθόνης και να συλλέγει πληροφορίες συστήματος. Επιπλέον, το backdoor έχει αρθρωτές δυνατότητες επέκτασης, επιτρέποντάς του να εκτελεί ανεξάρτητες λειτουργικές μονάδες Python, όπως coin miners και να ανακτά και να εκτελεί δυναμικά κώδικα Python από τον διακομιστή C2.
