Il downloader EMPTYSPACE prende di mira le vittime italiane

UNC4990, un attore di minacce motivato finanziariamente, sta utilizzando dispositivi USB come mezzo iniziale per infettare le organizzazioni in Italia. Secondo un rapporto di Mandiant, una società di sicurezza acquisita da Google nel 2022, gli attacchi colpiscono specificamente vari settori, tra cui sanità, trasporti, edilizia e logistica.

Il modus operandi di UNC4990 prevede un'infezione USB diffusa seguita dall'implementazione del downloader EMPTYSPACE. Durante queste operazioni, il gruppo si affida a siti Web di terze parti come GitHub, Vimeo e Ars Technica per ospitare fasi aggiuntive codificate, che vengono scaricate e decodificate tramite PowerShell nelle prime fasi della catena di esecuzione.

Chi è l'attore della minaccia UNC4990?

Attivo dalla fine del 2020, si ritiene che l'UNC4990 operi dall'Italia, dato il suo ampio utilizzo delle infrastrutture italiane per scopi di comando e controllo (C2). Lo scopo finale dell’UNC4990 rimane poco chiaro ed è incerto se il gruppo serva esclusivamente come facilitatore dell’accesso iniziale per altri autori di minacce. In un caso, secondo quanto riferito, un minatore di criptovaluta open source è stato implementato dopo mesi di attività di beaconing.

Meccanismo di infezione EMPTYSPACE

Il processo di infezione inizia quando una vittima fa doppio clic su un file di collegamento LNK dannoso su un dispositivo USB rimovibile, attivando l'esecuzione di uno script PowerShell. Questo script è responsabile del download di EMPTYSPACE (noto anche come BrokerLoader o Vetta Loader) da un server remoto tramite uno script PowerShell intermedio ospitato su Vimeo.

Sono state identificate quattro varianti di EMPTYSPACE, scritte in Golang, .NET, Node.js e Python. Queste varianti fungono da canali per recuperare i payload della fase successiva su HTTP dal server C2, inclusa una backdoor denominata QUIETBOARD.

Durante questa fase, siti Web popolari come Ars Technica, GitHub, GitLab e Vimeo vengono utilizzati per ospitare il payload dannoso. In particolare, i ricercatori di Mandiant hanno sottolineato che il contenuto ospitato su questi servizi non presentava alcun rischio diretto per gli utenti comuni, poiché il contenuto isolato era benigno.

QUIETBOARD, una backdoor basata su Python, presenta un'ampia gamma di funzionalità. Può eseguire comandi arbitrari, alterare gli indirizzi dei portafogli crittografici copiati negli appunti, propagare il malware su unità rimovibili, acquisire screenshot e raccogliere informazioni di sistema. Inoltre, la backdoor ha capacità di espansione modulare, che le consentono di eseguire moduli Python indipendenti come i minatori di monete e di recuperare ed eseguire dinamicamente il codice Python dal server C2.