EMPTYSPACE 下载器瞄准意大利受害者

UNC4990 是一个出于经济动机的威胁行为者，正在利用武器化 USB 设备作为感染意大利组织的初始手段。根据谷歌 2022 年收购的安全公司 Mandiant 的报告，这些攻击专门针对各个行业，包括健康、交通、建筑和物流。

UNC4990 的作案手法涉及广泛的 USB 感染，然后部署 EMPTYSPACE 下载程序。在这些操作过程中，该小组依靠 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段，这些阶段在执行链的早期通过 PowerShell 下载和解码。

谁是 UNC4990 威胁参与者？

鉴于 UNC4990 广泛使用意大利基础设施用于指挥与控制 (C2) 目的，因此自 2020 年底以来一直活跃，据信 UNC4990 在意大利运营。 UNC4990 的最终目的仍不清楚，也不确定该组织是否仅仅充当其他威胁行为者的初始访问促进者。据报道，在一个实例中，经过数月的信标活动后部署了一款开源加密货币挖矿程序。

EMPTYSPACE感染机制

当受害者双击可移动 USB 设备上的恶意 LNK 快捷方式文件时，感染过程就会开始，从而触发 PowerShell 脚本的执行。该脚本负责通过 Vimeo 上托管的中间 PowerShell 脚本从远程服务器下载 EMPTYSPACE（也称为 BrokerLoader 或 Vetta Loader）。

已确定 EMPTYSPACE 的四种变体，分别用 Golang、.NET、Node.js 和 Python 编写。这些变体充当通过 HTTP 从 C2 服务器获取下一阶段有效负载的管道，其中包括名为 QUIETBOARD 的后门。

在此阶段，Ars Technica、GitHub、GitLab 和 Vimeo 等热门网站用于托管恶意负载。值得注意的是，Mandiant 研究人员强调，这些服务上托管的内容不会对日常用户构成直接风险，因为孤立的内容是良性的。

QUIETBOARD 是一个基于 Python 的后门，具有广泛的功能。它可以执行任意命令，更改复制到剪贴板的加密钱包地址，将恶意软件传播到可移动驱动器，捕获屏幕截图并收集系统信息。此外，该后门还具有模块化扩展功能，使其能够运行独立的Python模块（例如挖矿机），并从C2服务器动态获取和执行Python代码。