Загрузчик EMPTYSPACE нацелен на итальянских жертв

UNC4990, финансово мотивированный злоумышленник, использует USB-устройства в качестве оружия в качестве первоначального средства заражения организаций в Италии. Согласно отчету Mandiant, охранной компании, которую Google приобрела в 2022 году, атаки конкретно нацелены на различные отрасли, включая здравоохранение, транспорт, строительство и логистику.

Метод работы UNC4990 предполагает широко распространенное заражение USB с последующим развертыванием загрузчика EMPTYSPACE. Во время этих операций группа использует сторонние веб-сайты, такие как GitHub, Vimeo и Ars Technica, для размещения закодированных дополнительных этапов, которые загружаются и декодируются через PowerShell на ранних этапах цепочки выполнения.

Кто является источником угрозы UNC4990?

Предполагается, что UNC4990 действует с конца 2020 года из Италии, учитывая широкое использование итальянской инфраструктуры для целей командования и контроля (C2). Конечная цель UNC4990 остается неясной, и неясно, служит ли группа исключительно средством первоначального доступа для других субъектов угрозы. Сообщается, что в одном случае после нескольких месяцев активности маяков был развернут майнер криптовалюты с открытым исходным кодом.

Механизм заражения EMPTYSPACE

Процесс заражения начинается, когда жертва дважды щелкает вредоносный ярлык LNK на съемном USB-устройстве, запуская выполнение сценария PowerShell. Этот скрипт отвечает за загрузку EMPTYSPACE (также известного как BrokerLoader или Vetta Loader) с удаленного сервера через промежуточный скрипт PowerShell, размещенный на Vimeo.

Были идентифицированы четыре варианта EMPTYSPACE, написанные на Golang, .NET, Node.js и Python. Эти варианты действуют как каналы для получения полезных данных следующего этапа через HTTP с сервера C2, включая бэкдор под названием QUIETBOARD.

На этом этапе для размещения вредоносной полезной нагрузки используются популярные веб-сайты, такие как Ars Technica, GitHub, GitLab и Vimeo. Примечательно, что исследователи Mandiant подчеркнули, что контент, размещенный на этих сервисах, не представляет прямого риска для обычных пользователей, поскольку изолированный контент является безвредным.

QUIETBOARD, бэкдор на базе Python, обладает широким набором функций. Он может выполнять произвольные команды, изменять адреса криптокошельков, скопированные в буфер обмена, распространять вредоносное ПО на съемные диски, делать снимки экрана и собирать системную информацию. Кроме того, бэкдор имеет возможности модульного расширения, что позволяет ему запускать независимые модули Python, такие как майнеры монет, а также динамически получать и выполнять код Python с сервера C2.