EMPTYSPACE Downloader skirtas Italijos aukoms
UNC4990, finansiškai motyvuotas grėsmių veikėjas, naudoja ginkluotus USB įrenginius kaip pradinę priemonę užkrėsti organizacijas Italijoje. Remiantis saugos bendrovės „Mandiant“, kurią „Google“ įsigijo 2022 m., ataskaita, atakos konkrečiai nukreiptos į įvairias pramonės šakas, įskaitant sveikatos priežiūrą, transportavimą, statybas ir logistiką.
UNC4990 veikimo būdas yra susijęs su plačiai paplitusia USB infekcija, po kurios įdiegta EMPTYSPACE atsisiuntimo programa. Šių operacijų metu grupė remiasi trečiųjų šalių svetainėmis, tokiomis kaip „GitHub“, „Vimeo“ ir „Ars Technica“, kad priglobtų užkoduotus papildomus etapus, kurie atsisiunčiami ir iškoduojami naudojant „PowerShell“ vykdymo grandinės pradžioje.
Kas yra UNC4990 grėsmės veikėjas?
Manoma, kad UNC4990, veikiantis nuo 2020 m. pabaigos, veikia iš Italijos, nes jis plačiai naudoja Italijos infrastruktūrą komandų ir valdymo (C2) tikslais. Galutinis UNC4990 tikslas lieka neaiškus ir neaišku, ar grupė tarnauja tik kaip pradinis kitų grėsmės veikėjų prieigos tarpininkas. Pranešama, kad vienu atveju atvirojo kodo kriptovaliutų kasėjas buvo panaudotas po kelis mėnesius trukusios švyturio veiklos.
EMPTYSPACE Infekcijos mechanizmas
Užsikrėtimo procesas prasideda, kai auka du kartus spusteli kenkėjišką LNK nuorodos failą išimamame USB įrenginyje ir suaktyvina PowerShell scenarijaus vykdymą. Šis scenarijus yra atsakingas už EMPTYSPACE (taip pat žinomo kaip BrokerLoader arba Vetta Loader) atsisiuntimą iš nuotolinio serverio per tarpinį PowerShell scenarijų, priglobtą Vimeo.
Buvo nustatyti keturi EMPTYSPACE variantai, parašyti Golang, .NET, Node.js ir Python. Šie variantai veikia kaip kanalai, skirti gauti kitos pakopos naudingąsias apkrovas per HTTP iš C2 serverio, įskaitant galines duris, pavadintas QUIETBOARD.
Šiame etape populiarios svetainės, tokios kaip „Ars Technica“, „GitHub“, „GitLab“ ir „Vimeo“, naudojamos kenkėjiškam kroviniui priglobti. Pažymėtina, kad „Mandiant“ tyrėjai pabrėžė, kad šiose paslaugose talpinamas turinys nekelia tiesioginio pavojaus kasdieniams vartotojams, nes izoliuotas turinys buvo nekenksmingas.
„QUIETBOARD“, „Python“ pagrindu sukurtos užpakalinės durys, pasižymi daugybe funkcijų. Jis gali vykdyti savavališkas komandas, pakeisti kriptovaliutų piniginės adresus, nukopijuotus į mainų sritį, platinti kenkėjišką programą į išimamus diskus, užfiksuoti ekrano kopijas ir rinkti sistemos informaciją. Be to, užpakalinės durys turi modulinio išplėtimo galimybes, leidžiančias paleisti nepriklausomus Python modulius, tokius kaip monetų kasyklos, ir dinamiškai gauti bei vykdyti Python kodą iš C2 serverio.