EMPTYSPACE-Downloader
Ein finanziell motivierter Bedrohungsakteur namens UNC4990 nutzt bewaffnete USB-Geräte, um Organisationen in Italien als Erstinfektionsüberträger ins Visier zu nehmen. Die Angriffe scheinen auf mehrere Branchen abzuzielen, darunter Gesundheit, Transport, Bauwesen und Logistik. UNC4990-Vorgänge beinhalten im Allgemeinen eine weit verbreitete USB-Infektion, gefolgt von der Bereitstellung des EMPTYSPACE-Downloaders.
Während dieser Angriffsvorgänge verlässt sich der Cluster auf Websites von Drittanbietern wie GitHub, Vimeo und andere, um verschlüsselte zusätzliche Phasen zu hosten, die er zu Beginn der Ausführungskette über PowerShell herunterlädt und dekodiert.
Inhaltsverzeichnis
Die UNC4990-Bedrohungsakteure sind seit Jahren aktiv
UNC4990 ist seit Ende 2020 aktiv und soll von Italien aus operieren, was sich in der häufigen Nutzung der italienischen Infrastruktur für Command-and-Control-Funktionen (C2) zeigt. Die spezifische Rolle von UNC4990 bleibt ungewiss; Es ist unklar, ob die Gruppe lediglich den Erstzugang für andere Akteure ermöglicht. Das letztendliche Ziel dieses Bedrohungsakteurs ist ebenfalls unklar. Es gibt jedoch einen Fall, in dem Forscher nach monatelangen Beaconing-Aktivitäten den Einsatz eines Open-Source-Kryptowährungs-Miners bemerkten.
Forscher hatten bereits Anfang Dezember 2023 Einzelheiten der Kampagne dokumentiert, wobei einige denselben Gegner unter dem Namen Nebula Broker verfolgten.
Die Angriffskette mit dem EMPTYSPACE-Downloader
Die Malware-Infektion wird ausgelöst, wenn ein Opfer auf einem entfernbaren USB-Gerät auf eine schädliche LNK-Verknüpfungsdatei doppelklickt. Diese Aktion löst die Ausführung eines PowerShell-Skripts aus, das für das Herunterladen von EMPTYSPACE (auch bekannt als BrokerLoader oder Vetta Loader) von einem Remote-Server verantwortlich ist. Der Download wird durch ein zwischengeschaltetes PowerShell-Skript erleichtert, das auf Vimeo gehostet wird.
Forscher haben vier verschiedene Varianten von EMPTYSPACE identifiziert, die in Golang, .NET, Node.js und Python codiert sind. Sobald diese Bedrohung vollständig bereitgestellt ist, fungiert sie als Kanal zum Abrufen nachfolgender Nutzlasten über HTTP vom C2-Server, einschließlich einer Hintertür namens QUIETBOARD.
Ein bemerkenswerter Aspekt dieser Phase ist die Nutzung beliebter Websites wie Ars Technica, GitHub, GitLab und Vimeo zum Hosten der unsicheren Nutzlast. Den Forschungsergebnissen zufolge stellen die auf diesen Diensten gehosteten Inhalte keine direkte Gefahr für normale Benutzer dar, da die isolierten Inhalte völlig harmlos sind. Personen, die in der Vergangenheit möglicherweise unbeabsichtigt mit diesen Inhalten interagiert oder diese angesehen haben, sind nicht dem Risiko einer Kompromittierung ausgesetzt.
Zusätzliche Bedrohungen durch den EMPTYSPACE Downloader
Im Gegensatz dazu ist QUIETBOARD eine auf Python basierende Hintertür, die mit einer Vielzahl von Funktionen ausgestattet ist, die es ihr ermöglichen, beliebige Befehle auszuführen, in die Zwischenablage kopierte Krypto-Wallet-Adressen zu manipulieren, um Geldtransfers an Wallets umzuleiten, die unter der Kontrolle der Bedrohungsakteure stehen, und Malware auf Wechseldatenträgern zu verbreiten , Screenshots aufnehmen und Systeminformationen sammeln.
Darüber hinaus ist diese Hintertür modular erweiterbar und ermöglicht die Ausführung unabhängiger Python-Module wie Coin-Miner. Es kann auch Python-Code dynamisch vom C2-Server abrufen und ausführen.
Die Analyse von EMPTYSPACE und QUIETBOARD unterstreicht den modularen Ansatz der Bedrohungsakteure bei der Entwicklung ihres Toolsets. Die Verwendung mehrerer Programmiersprachen zur Erstellung verschiedener Versionen des EMPTYSPACE-Downloaders und die Änderung der URL beim Entfernen des Vimeo-Videos zeigen die Vorliebe der Bedrohungsakteure für Experimente und Anpassungsfähigkeit.
