Program do pobierania EMPTYSPACE celuje w włoskie ofiary

UNC4990, ugrupowanie grożące motywowane finansowo, wykorzystuje uzbrojone urządzenia USB jako pierwszy sposób infekowania organizacji we Włoszech. Według raportu Mandiant, firmy ochroniarskiej przejętej przez Google w 2022 r., ataki są wymierzone w różne branże, w tym opiekę zdrowotną, transport, budownictwo i logistykę.

Sposób działania UNC4990 obejmuje powszechną infekcję USB, po której następuje wdrożenie narzędzia pobierania EMPTYSPACE. Podczas tych operacji grupa korzysta z witryn internetowych stron trzecich, takich jak GitHub, Vimeo i Ars Technica, które hostują zakodowane dodatkowe etapy, które są pobierane i dekodowane za pomocą programu PowerShell na początku łańcucha wykonawczego.

Kim jest podmiot stanowiący zagrożenie UNC4990?

Uważa się, że UNC4990 działa od końca 2020 r. z Włoch, biorąc pod uwagę szerokie wykorzystanie włoskiej infrastruktury do celów dowodzenia i kontroli (C2). Ostateczny cel UNC4990 pozostaje niejasny i nie jest pewne, czy grupa ta służy wyłącznie jako pośrednik w początkowym ułatwianiu dostępu innym podmiotom stwarzającym zagrożenie. W jednym przypadku po miesiącach aktywności sygnalizacyjnej wdrożono koparkę kryptowalut typu open source.

Mechanizm infekcji EMPTYSPACE

Proces infekcji rozpoczyna się, gdy ofiara dwukrotnie kliknie złośliwy plik skrótu LNK na wymiennym urządzeniu USB, uruchamiając wykonanie skryptu PowerShell. Ten skrypt jest odpowiedzialny za pobieranie EMPTYSPACE (znanego również jako BrokerLoader lub Vetta Loader) ze zdalnego serwera za pośrednictwem pośredniego skryptu PowerShell hostowanego na Vimeo.

Zidentyfikowano cztery warianty EMPTYSPACE napisane w Golang, .NET, Node.js i Python. Warianty te działają jako kanały do pobierania ładunków następnego etapu przez HTTP z serwera C2, w tym backdoora o nazwie QUIETBOARD.

Na tym etapie do hostowania szkodliwego ładunku wykorzystywane są popularne witryny internetowe, takie jak Ars Technica, GitHub, GitLab i Vimeo. W szczególności badacze Mandiant podkreślili, że treści hostowane w tych usługach nie stwarzały bezpośredniego zagrożenia dla zwykłych użytkowników, ponieważ izolowane treści były niegroźne.

QUIETBOARD, backdoor oparty na języku Python, oferuje szeroki zakres funkcji. Może wykonywać dowolne polecenia, zmieniać adresy portfeli kryptograficznych skopiowane do schowka, rozprzestrzeniać złośliwe oprogramowanie na dyski wymienne, przechwytywać zrzuty ekranu i zbierać informacje o systemie. Dodatkowo backdoor ma możliwości modułowej rozbudowy, umożliwiając mu uruchamianie niezależnych modułów Pythona, takich jak koparki monet, oraz dynamiczne pobieranie i wykonywanie kodu Pythona z serwera C2.