EMPTYSPACE 下載器瞄準義大利受害者
UNC4990 是一個出於經濟動機的威脅行為者,正在利用武器化 USB 設備作為感染義大利組織的初始手段。根據Google 2022 年收購的安全公司 Mandiant 的報告,這些攻擊專門針對各個行業,包括健康、交通、建築和物流。
UNC4990 的作案手法涉及廣泛的 USB 感染,然後部署 EMPTYSPACE 下載程式。在這些操作過程中,該小組依靠 GitHub、Vimeo 和 Ars Technica 等第三方網站來託管編碼的附加階段,這些階段在執行鏈的早期透過 PowerShell 下載和解碼。
誰是 UNC4990 威脅參與者?
鑑於 UNC4990 廣泛使用義大利基礎設施用於指揮與控制 (C2) 目的,因此自 2020 年底以來一直活躍,據信 UNC4990 在義大利運作。 UNC4990 的最終目的仍不清楚,也不確定該組織是否僅僅充當其他威脅行為者的初始訪問促進者。據報道,在一個實例中,經過數月的信標活動後部署了一款開源加密貨幣挖礦程序。
EMPTYSPACE感染機制
當受害者雙擊可移動 USB 裝置上的惡意 LNK 捷徑檔案時,感染過程就會開始,從而觸發 PowerShell 腳本的執行。該腳本負責透過 Vimeo 上託管的中間 PowerShell 腳本從遠端伺服器下載 EMPTYSPACE(也稱為 BrokerLoader 或 Vetta Loader)。
已確定 EMPTYSPACE 的四種變體,分別以 Golang、.NET、Node.js 和 Python 編寫。這些變體充當透過 HTTP 從 C2 伺服器取得下一階段有效負載的管道,其中包括名為 QUIETBOARD 的後門。
在此階段,Ars Technica、GitHub、GitLab 和 Vimeo 等熱門網站用於託管惡意負載。值得注意的是,Mandiant 研究人員強調,這些服務上託管的內容不會對日常用戶構成直接風險,因為孤立的內容是良性的。
QUIETBOARD 是一個基於 Python 的後門,具有廣泛的功能。它可以執行任意命令,更改複製到剪貼簿的加密錢包位址,將惡意軟體傳播到可移動驅動器,捕獲螢幕截圖並收集系統資訊。此外,該後門還具有模組化擴展功能,使其能夠運行獨立的Python模組(例如挖礦機),並從C2伺服器動態獲取和執行Python程式碼。