EMPTYSPACE Downloader
Un actor de amenazas con motivación financiera conocido como UNC4990 está aprovechando dispositivos USB armados para atacar a organizaciones en Italia como vector de infección inicial. Los ataques parecen estar dirigidos a múltiples industrias, incluidas la salud, el transporte, la construcción y la logística. Las operaciones UNC4990 generalmente implican una infección USB generalizada seguida por la implementación del descargador EMPTYSPACE.
Durante estas operaciones de ataque, el clúster depende de sitios web de terceros, como GitHub, Vimeo y otros, para alojar etapas adicionales codificadas, que descarga y decodifica a través de PowerShell en las primeras etapas de la cadena de ejecución.
Tabla de contenido
Los actores de amenazas UNC4990 han estado activos durante años
UNC4990 ha estado activo desde finales de 2020 y se cree que opera desde Italia, lo que es evidente en su uso frecuente de la infraestructura italiana para funciones de comando y control (C2). La función específica de UNC4990 sigue siendo incierta; No está claro si el grupo únicamente facilita el acceso inicial a otros actores. El objetivo final de este actor de amenazas también es ambiguo. Sin embargo, hay un caso en el que los investigadores notaron el despliegue de un minero de criptomonedas de código abierto luego de meses de actividad de balizamiento.
Los investigadores habían documentado previamente detalles de la campaña a principios de diciembre de 2023, y algunos rastrearon al mismo adversario bajo el sobrenombre de Nebula Broker.
La cadena de ataque que emplea el descargador EMPTYSPACE
La infección de malware se inicia cuando una víctima hace doble clic en un archivo de acceso directo LNK malicioso en un dispositivo USB extraíble. Esta acción desencadena la ejecución de un script de PowerShell responsable de descargar EMPTYSPACE (también conocido como BrokerLoader o Vetta Loader) desde un servidor remoto. La descarga se facilita a través de un script intermedio de PowerShell alojado en Vimeo.
Los investigadores han identificado cuatro variantes distintas de EMPTYSPACE, codificadas en Golang, .NET, Node.js y Python. Una vez completamente implementada, esta amenaza funciona como un conducto para recuperar cargas útiles posteriores a través de HTTP desde el servidor C2, incluida una puerta trasera denominada QUIETBOARD.
Un aspecto digno de mención de esta fase implica la utilización de sitios web populares como Ars Technica, GitHub, GitLab y Vimeo para alojar la carga útil insegura. Según los resultados de la investigación, el contenido alojado en estos servicios no supone un riesgo directo para los usuarios cotidianos, ya que el contenido aislado es totalmente benigno. Las personas que hayan interactuado o visto este contenido sin querer en el pasado no corren riesgo de verse comprometidos.
Amenazas adicionales proporcionadas por el descargador EMPTYSPACE
Por el contrario, QUIETBOARD es una puerta trasera basada en Python equipada con un conjunto diverso de características que le permiten ejecutar comandos arbitrarios, manipular direcciones de billeteras criptográficas copiadas al portapapeles para redirigir transferencias de fondos a billeteras bajo el control de los actores de amenazas, propagar malware a unidades extraíbles. , realizar capturas de pantalla y recopilar información del sistema.
Además, esta puerta trasera muestra la capacidad de expansión modular, lo que le permite ejecutar módulos Python independientes, como los mineros de monedas. También puede recuperar y ejecutar dinámicamente código Python desde el servidor C2.
El análisis de EMPTYSPACE y QUIETBOARD subraya el enfoque modular de los actores de amenazas al desarrollar su conjunto de herramientas. La utilización de múltiples lenguajes de programación para crear varias versiones del descargador EMPTYSPACE y la alteración de la URL cuando se eliminó el video de Vimeo demuestran una inclinación por la experimentación y la adaptabilidad por parte de los actores de amenazas.
