EMPTYSPACE Downloader
Un acteur malveillant motivé par des raisons financières, connu sous le nom d'UNC4990, utilise des périphériques USB armés pour cibler des organisations en Italie en tant que vecteur d'infection initial. Les attaques semblent viser plusieurs secteurs, notamment la santé, les transports, la construction et la logistique. Les opérations UNC4990 impliquent généralement une infection USB généralisée suivie du déploiement du téléchargeur EMPTYSPACE.
Lors de ces opérations d'attaque, le cluster s'appuie sur des sites Web tiers tels que GitHub, Vimeo et autres pour héberger des étapes supplémentaires codées, qu'il télécharge et décode via PowerShell au début de la chaîne d'exécution.
Table des matières
Les acteurs de la menace UNC4990 sont actifs depuis des années
L'UNC4990 est actif depuis fin 2020 et fonctionnerait depuis l'Italie, comme en témoigne son utilisation fréquente de l'infrastructure italienne pour les fonctions de commandement et de contrôle (C2). Le rôle spécifique de l'UNC4990 reste incertain ; il n'est pas clair si le groupe facilite uniquement l'accès initial pour d'autres acteurs. L’objectif ultime de cet acteur menaçant est également ambigu. Cependant, il existe un cas où des chercheurs ont noté le déploiement d'un mineur de crypto-monnaie open source après des mois d'activité de balisage.
Les chercheurs avaient déjà documenté les détails de la campagne début décembre 2023, certains traquant le même adversaire sous le surnom de Nebula Broker.
La chaîne d’attaque utilisant le téléchargeur EMPTYSPACE
L'infection par un logiciel malveillant démarre lorsqu'une victime double-clique sur un fichier de raccourci LNK malveillant sur un périphérique USB amovible. Cette action déclenche l'exécution d'un script PowerShell chargé du téléchargement d'EMPTYSPACE (également appelé BrokerLoader ou Vetta Loader) depuis un serveur distant. Le téléchargement est facilité grâce à un script PowerShell intermédiaire hébergé sur Vimeo.
Les chercheurs ont identifié quatre variantes distinctes d'EMPTYSPACE, codées en Golang, .NET, Node.js et Python. Une fois entièrement déployée, cette menace fonctionne comme un canal permettant de récupérer les charges utiles ultérieures via HTTP à partir du serveur C2, y compris une porte dérobée appelée QUIETBOARD.
Un aspect remarquable de cette phase implique l'utilisation de sites Web populaires tels que Ars Technica, GitHub, GitLab et Vimeo pour héberger la charge utile dangereuse. Selon les résultats de la recherche, le contenu hébergé sur ces services ne présente pas de risque direct pour les utilisateurs quotidiens, car le contenu isolé est totalement inoffensif. Les personnes qui ont pu involontairement interagi avec ou consulté ce contenu dans le passé ne risquent pas d'être compromises.
Menaces supplémentaires fournies par le téléchargeur EMPTYSPACE
En revanche, QUIETBOARD est une porte dérobée basée sur Python équipée d'un ensemble diversifié de fonctionnalités lui permettant d'exécuter des commandes arbitraires, de manipuler des adresses de portefeuille cryptographiques copiées dans le presse-papiers pour rediriger les transferts de fonds vers des portefeuilles sous le contrôle des acteurs malveillants, de propager des logiciels malveillants sur des lecteurs amovibles. , capturez des captures d'écran et collectez des informations système.
De plus, cette porte dérobée présente une capacité d'expansion modulaire, lui permettant d'exécuter des modules Python indépendants tels que des mineurs de pièces. Il peut également récupérer et exécuter dynamiquement du code Python à partir du serveur C2.
L'analyse d'EMPTYSPACE et de QUIETBOARD souligne l'approche modulaire des acteurs de la menace dans le développement de leur ensemble d'outils. L'utilisation de plusieurs langages de programmation pour créer différentes versions du téléchargeur EMPTYSPACE et la modification de l'URL lorsque la vidéo Vimeo a été supprimée démontrent un penchant pour l'expérimentation et l'adaptabilité de la part des acteurs malveillants.
