EMPTYSPACE 下載器瞄準義大利受害者

UNC4990 是一個出於經濟動機的威脅行為者，正在利用武器化 USB 設備作為感染義大利組織的初始手段。根據Google 2022 年收購的安全公司 Mandiant 的報告，這些攻擊專門針對各個行業，包括健康、交通、建築和物流。

UNC4990 的作案手法涉及廣泛的 USB 感染，然後部署 EMPTYSPACE 下載程式。在這些操作過程中，該小組依靠 GitHub、Vimeo 和 Ars Technica 等第三方網站來託管編碼的附加階段，這些階段在執行鏈的早期透過 PowerShell 下載和解碼。

誰是 UNC4990 威脅參與者？

鑑於 UNC4990 廣泛使用義大利基礎設施用於指揮與控制 (C2) 目的，因此自 2020 年底以來一直活躍，據信 UNC4990 在義大利運作。 UNC4990 的最終目的仍不清楚，也不確定該組織是否僅僅充當其他威脅行為者的初始訪問促進者。據報道，在一個實例中，經過數月的信標活動後部署了一款開源加密貨幣挖礦程序。

EMPTYSPACE感染機制

當受害者雙擊可移動 USB 裝置上的惡意 LNK 捷徑檔案時，感染過程就會開始，從而觸發 PowerShell 腳本的執行。該腳本負責透過 Vimeo 上託管的中間 PowerShell 腳本從遠端伺服器下載 EMPTYSPACE（也稱為 BrokerLoader 或 Vetta Loader）。

已確定 EMPTYSPACE 的四種變體，分別以 Golang、.NET、Node.js 和 Python 編寫。這些變體充當透過 HTTP 從 C2 伺服器取得下一階段有效負載的管道，其中包括名為 QUIETBOARD 的後門。

在此階段，Ars Technica、GitHub、GitLab 和 Vimeo 等熱門網站用於託管惡意負載。值得注意的是，Mandiant 研究人員強調，這些服務上託管的內容不會對日常用戶構成直接風險，因為孤立的內容是良性的。

QUIETBOARD 是一個基於 Python 的後門，具有廣泛的功能。它可以執行任意命令，更改複製到剪貼簿的加密錢包位址，將惡意軟體傳播到可移動驅動器，捕獲螢幕截圖並收集系統資訊。此外，該後門還具有模組化擴展功能，使其能夠運行獨立的Python模組（例如挖礦機），並從C2伺服器動態獲取和執行Python程式碼。