EMPTYSPACE Downloader richt zich op Italiaanse slachtoffers

UNC4990, een financieel gemotiveerde bedreigingsacteur, gebruikt bewapende USB-apparaten als een eerste middel om organisaties in Italië te infecteren. Volgens een rapport van Mandiant, een beveiligingsbedrijf dat Google in 2022 heeft overgenomen, zijn de aanvallen specifiek gericht op verschillende sectoren, waaronder de gezondheidszorg, transport, bouw en logistiek.

De modus operandi van UNC4990 omvat een wijdverbreide USB-infectie, gevolgd door de inzet van de EMPTYSPACE-downloader. Tijdens deze operaties vertrouwt de groep op websites van derden, zoals GitHub, Vimeo en Ars Technica, om gecodeerde extra fasen te hosten, die vroeg in de uitvoeringsketen via PowerShell worden gedownload en gedecodeerd.

Wie is de UNC4990-bedreigingsacteur?

Aangenomen wordt dat UNC4990 actief is sinds eind 2020 en opereert vanuit Italië, gezien het uitgebreide gebruik van de Italiaanse infrastructuur voor command-and-control (C2) doeleinden. Het uiteindelijke doel van UNC4990 blijft onduidelijk, en het is onzeker of de groep uitsluitend dient als initiële toegangsfacilitator voor andere bedreigingsactoren. In één geval werd naar verluidt een open-source cryptocurrency-mijnwerker ingezet na maanden van bakenactiviteiten.

EMPTYSPACE Infectiemechanisme

Het infectieproces begint wanneer een slachtoffer dubbelklikt op een kwaadaardig LNK-snelkoppelingsbestand op een verwijderbaar USB-apparaat, waardoor de uitvoering van een PowerShell-script wordt geactiveerd. Dit script is verantwoordelijk voor het downloaden van EMPTYSPACE (ook bekend als BrokerLoader of Vetta Loader) van een externe server via een tussenliggend PowerShell-script dat wordt gehost op Vimeo.

Er zijn vier varianten van EMPTYSPACE geïdentificeerd, geschreven in Golang, .NET, Node.js en Python. Deze varianten fungeren als kanalen voor het ophalen van payloads in de volgende fase via HTTP van de C2-server, inclusief een achterdeur genaamd QUIETBOARD.

Tijdens deze fase worden populaire websites zoals Ars Technica, GitHub, GitLab en Vimeo gebruikt voor het hosten van de kwaadaardige lading. Mandiant-onderzoekers benadrukten met name dat de inhoud die op deze diensten wordt gehost geen direct risico voor gewone gebruikers met zich meebrengt, aangezien de geïsoleerde inhoud goedaardig is.

QUIETBOARD, een op Python gebaseerde achterdeur, vertoont een breed scala aan functies. Het kan willekeurige opdrachten uitvoeren, crypto-portemonnee-adressen wijzigen die naar het klembord zijn gekopieerd, de malware naar verwisselbare schijven verspreiden, schermafbeeldingen maken en systeeminformatie verzamelen. Bovendien heeft de achterdeur modulaire uitbreidingsmogelijkheden, waardoor deze onafhankelijke Python-modules zoals muntmijnwerkers kan uitvoeren en Python-code dynamisch van de C2-server kan ophalen en uitvoeren.