EMPTYSPACE Downloader az olasz áldozatokat célozza meg

Az UNC4990, egy pénzügyileg motivált fenyegetettség, fegyveres USB-eszközöket használ az olaszországi szervezetek megfertőzésére. A Mandiant, a Google által 2022-ben felvásárolt biztonsági cég jelentése szerint a támadások kifejezetten különböző iparágakat céloznak meg, beleértve az egészségügyet, a szállítást, az építkezést és a logisztikát.

Az UNC4990 működési módja egy széles körben elterjedt USB-fertőzés, amelyet az EMPTYSPACE letöltő telepítése követ. E műveletek során a csoport harmadik felek webhelyeire támaszkodik, mint például a GitHub, a Vimeo és az Ars Technica, hogy további kódolt szakaszokat tároljanak, amelyeket a PowerShell segítségével tölt le és dekódol a végrehajtási lánc korai szakaszában.

Ki az UNC4990 fenyegetés szereplője?

A 2020 vége óta működő UNC4990 vélhetően Olaszországból üzemel, mivel az olasz infrastruktúrát kiterjedten használja parancsnoki és irányítási (C2) célokra. Az UNC4990 végső célja továbbra is tisztázatlan, és bizonytalan, hogy a csoport kizárólag kezdeti hozzáférés-segítőként szolgál-e más fenyegetés szereplői számára. Egy esetben egy nyílt forráskódú kriptovaluta bányászt telepítettek több hónapos beaconing tevékenység után.

EMPTYSPACE fertőzési mechanizmus

A fertőzési folyamat akkor kezdődik, amikor az áldozat duplán rákattint egy rosszindulatú LNK parancsikonfájlra egy cserélhető USB-eszközön, ami elindítja a PowerShell-szkript végrehajtását. Ez a szkript felelős az EMPTYSPACE (más néven BrokerLoader vagy Vetta Loader) letöltéséért egy távoli kiszolgálóról a Vimeo-n tárolt köztes PowerShell-szkripten keresztül.

Az EMPTYSPACE négy változatát azonosították, amelyeket Golang, .NET, Node.js és Python nyelven írtak. Ezek a változatok csatornaként működnek a következő szakaszban lévő hasznos adatok lekéréséhez HTTP-n keresztül a C2 szerverről, beleértve a QUIETBOARD nevű hátsó ajtót is.

Ebben a fázisban olyan népszerű webhelyeket használnak, mint az Ars Technica, a GitHub, a GitLab és a Vimeo a rosszindulatú rakomány tárolására. A Mandiant kutatói hangsúlyozták, hogy az ezeken a szolgáltatásokon tárolt tartalom nem jelent közvetlen kockázatot a mindennapi felhasználók számára, mivel az elszigetelt tartalom jóindulatú volt.

A QUIETBOARD, egy Python-alapú hátsó ajtó, a funkciók széles skálájával rendelkezik. Tetszőleges parancsokat hajthat végre, megváltoztathatja a vágólapra másolt kriptotárca-címeket, terjesztheti a kártevőt cserélhető meghajtókra, képernyőképeket készíthet, és rendszerinformációkat gyűjthet. Ezenkívül a hátsó ajtó moduláris bővítési képességekkel rendelkezik, lehetővé téve független Python-modulok, például érmebányászok futtatását, valamint Python-kód dinamikus lekérését és végrehajtását a C2-kiszolgálóról.