EMPTYSPACE ダウンローダー

UNC4990 として知られる金銭目的の攻撃者は、兵器化された USB デバイスを利用して、イタリアの組織を最初の感染経路として標的にしています。攻撃は医療、運輸、建設、物流など複数の業界を標的にしているとみられる。 UNC4990 の操作には通常、広範囲にわたる USB 感染とそれに続く EMPTYSPACE ダウンローダーの展開が含まれます。

これらの攻撃操作中、クラスターは、GitHub、Vimeo などのサードパーティ Web サイトに依存して、エンコードされた追加ステージをホストし、実行チェーンの早い段階で PowerShell 経由でダウンロードしてデコードします。

UNC4990 脅威アクターは長年にわたり活動を続けています

UNC4990は2020年末から活動しており、イタリアから活動していると考えられており、指揮統制（C2）機能にイタリアのインフラを頻繁に使用していることからも明らかだ。 UNC4990 の具体的な役割は依然として不明です。このグループが他のアクターの初期アクセスを促進するだけなのかどうかは不明です。この脅威アクターの最終的な目的も曖昧です。ただし、数か月にわたるビーコン活動の後に、オープンソースの暗号通貨マイナーが導入されたことに研究者が注目した例があります。

研究者らは以前、2023年12月初旬にキャンペーンの詳細を文書化しており、一部の研究者はNebula Brokerという名前で同じ敵を追跡していた。

EMPTYSPACE ダウンローダーを利用した攻撃チェーン

マルウェアの感染は、被害者がリムーバブル USB デバイス上の悪意のある LNK ショートカット ファイルをダブルクリックすると始まります。このアクションにより、リモート サーバーから EMPTYSPACE (BrokerLoader または Vetta Loader とも呼ばれます) をダウンロードする PowerShell スクリプトの実行がトリガーされます。ダウンロードは、Vimeo でホストされている中間 PowerShell スクリプトを通じて容易に行われます。

研究者らは、Golang、.NET、Node.js、Python でコーディングされた EMPTYSPACE の 4 つの異なる亜種を特定しました。この脅威は完全に展開されると、QUIETBOARD と呼ばれるバックドアを含め、C2 サーバーから HTTP 経由で後続のペイロードを取得するための経路として機能します。

このフェーズの注目すべき側面には、安全でないペイロードをホストするための Ars Technica、GitHub、GitLab、Vimeo などの人気のある Web サイトの利用が含まれます。調査結果によると、これらのサービスでホストされているコンテンツは、隔離されたコンテンツが完全に無害であるため、日常のユーザーに直接的なリスクをもたらすことはありません。過去に意図せずにこのコンテンツを操作または閲覧した可能性のある個人は、危険にさらされる危険はありません。

EMPTYSPACE ダウンローダーによって配信される追加の脅威

対照的に、QUIETBOARD は、任意のコマンドを実行したり、クリップボードにコピーされた仮想通貨ウォレットのアドレスを操作して、脅威アクターの制御下にあるウォレットに資金移動をリダイレクトしたり、リムーバブル ドライブにマルウェアを伝播したりすることを可能にする、多様な機能セットを備えた Python ベースのバックドアです。 、スクリーンショットをキャプチャし、システム情報を収集します。

さらに、このバックドアはモジュール拡張機能を備えており、コインマイナーなどの独立した Python モジュールを実行できるようになります。また、C2 サーバーから Python コードを動的にフェッチして実行することもできます。

EMPTYSPACE と QUIETBOARD の分析は、ツールセットの開発における脅威アクターのモジュール型アプローチを強調しています。複数のプログラミング言語を使用してさまざまなバージョンの EMPTYSPACE ダウンローダーを作成したことや、Vimeo ビデオが削除された際の URL の変更は、攻撃者側の実験と適応力の傾向を示しています。