EMPTYSPACE Downloader riktar sig mot italienska offer

UNC4990, en ekonomiskt motiverad hotaktör, använder beväpnade USB-enheter som ett första sätt att infektera organisationer i Italien. Enligt en rapport från Mandiant, ett säkerhetsföretag som Google förvärvade 2022, riktar attackerna sig specifikt mot olika branscher, inklusive hälsa, transport, konstruktion och logistik.

Arbetssättet för UNC4990 involverar en utbredd USB-infektion följt av distributionen av EMPTYSPACE-nedladdaren. Under dessa operationer förlitar sig gruppen på tredjepartswebbplatser som GitHub, Vimeo och Ars Technica för att vara värd för kodade ytterligare steg, som laddas ner och avkodas via PowerShell tidigt i exekveringskedjan.

Vem är UNC4990-hotskådespelaren?

UNC4990 har varit aktiv sedan slutet av 2020 och tros fungera från Italien, med tanke på dess omfattande användning av italiensk infrastruktur för kommando-och-kontroll (C2) ändamål. Det slutliga syftet med UNC4990 är fortfarande oklart, och det är osäkert om gruppen enbart fungerar som en initial åtkomstfacilitator för andra hotaktörer. I ett fall har en gruvarbetare för kryptovaluta med öppen källkod utplacerats efter månader av beaconing-aktivitet.

EMPTYSPACE Infektionsmekanism

Infektionsprocessen börjar när ett offer dubbelklickar på en skadlig LNK-genvägsfil på en flyttbar USB-enhet, vilket utlöser exekveringen av ett PowerShell-skript. Det här skriptet är ansvarigt för att ladda ner EMPTYSPACE (även känd som BrokerLoader eller Vetta Loader) från en fjärrserver via ett mellanliggande PowerShell-skript på Vimeo.

Fyra varianter av EMPTYSPACE har identifierats, skrivna i Golang, .NET, Node.js och Python. Dessa varianter fungerar som kanaler för att hämta nyttolaster i nästa steg över HTTP från C2-servern, inklusive en bakdörr som heter QUIETBOARD.

Under denna fas används populära webbplatser som Ars Technica, GitHub, GitLab och Vimeo för att vara värd för den skadliga nyttolasten. Mandiant-forskare betonade särskilt att innehållet på dessa tjänster inte utgör någon direkt risk för vanliga användare, eftersom det isolerade innehållet var godartat.

QUIETBOARD, en Python-baserad bakdörr, uppvisar ett brett utbud av funktioner. Den kan köra godtyckliga kommandon, ändra kryptoplånboksadresser som kopierats till urklipp, sprida skadlig programvara till flyttbara enheter, ta skärmdumpar och samla in systeminformation. Dessutom har bakdörren modulära expansionsmöjligheter, vilket gör att den kan köra oberoende Python-moduler såsom myntgruvarbetare och dynamiskt hämta och exekvera Python-kod från C2-servern.