EMPTYSPACE ダウンローダーはイタリア人被害者をターゲットに
金銭目的の攻撃者である UNC4990 は、イタリアの組織に感染する最初の手段として武器化された USB デバイスを利用しています。 Googleが2022年に買収したセキュリティ会社Mandiantの報告書によると、攻撃は特に医療、運輸、建設、物流などさまざまな業界を標的としている。
UNC4990 の手口には、広範囲にわたる USB 感染とそれに続く EMPTYSPACE ダウンローダーの展開が含まれます。これらの操作中、グループは、GitHub、Vimeo、Ars Technica などのサードパーティ Web サイトを利用して、エンコードされた追加ステージをホストします。これらのステージは、実行チェーンの初期段階で PowerShell 経由でダウンロードおよびデコードされます。
UNC4990 の脅威アクターは誰ですか?
2020 年後半から活動している UNC4990 は、指揮統制 (C2) 目的でイタリアのインフラを広範囲に使用していることから、イタリアから活動していると考えられています。 UNC4990 の最終的な目的は依然として不明瞭であり、このグループが他の脅威アクターの初期アクセスの促進者としてのみ機能するかどうかも不明です。ある例では、数か月にわたるビーコン活動の後に、オープンソースの暗号通貨マイナーが導入されたと報告されています。
EMPTYSPACEの感染メカニズム
感染プロセスは、被害者がリムーバブル USB デバイス上の悪意のある LNK ショートカット ファイルをダブルクリックすると始まり、PowerShell スクリプトの実行がトリガーされます。このスクリプトは、Vimeo でホストされている中間 PowerShell スクリプトを介して、リモート サーバーから EMPTYSPACE (BrokerLoader または Vetta Loader とも呼ばれます) をダウンロードする役割を果たします。
EMPTYSPACE には Golang、.NET、Node.js、Python で書かれた 4 つの亜種が確認されています。これらの亜種は、QUIETBOARD という名前のバックドアを含む、C2 サーバーから HTTP 経由で次の段階のペイロードを取得するためのパイプとして機能します。
このフェーズでは、Ars Technica、GitHub、GitLab、Vimeo などの一般的な Web サイトが悪意のあるペイロードをホストするために使用されます。特に、マンディアントの研究者らは、分離されたコンテンツは無害であるため、これらのサービスでホストされているコンテンツは日常のユーザーに直接的なリスクをもたらすものではないと強調しました。
Python ベースのバックドアである QUIETBOARD は、幅広い機能を備えています。任意のコマンドを実行し、クリップボードにコピーされた暗号ウォレットのアドレスを変更し、リムーバブル ドライブにマルウェアを伝播し、スクリーンショットをキャプチャし、システム情報を収集する可能性があります。さらに、バックドアにはモジュール拡張機能があり、コイン マイナーなどの独立した Python モジュールを実行したり、C2 サーバーから Python コードを動的に取得して実行したりできます。