Een financieel gemotiveerde dreigingsacteur, bekend als UNC4990 maakt gebruik van bewapende USB-apparaten als initiële infectievector om organisaties in Italië te targeten.
Mandiant, eigendom van Google, zei dat de aanvallen meerdere sectoren aantasten, waaronder de gezondheidszorg, het transport, de bouw en de logistiek.
“UNC4990-operaties omvatten doorgaans een wijdverbreide USB-infectie, gevolgd door de inzet van de EMPTYSPACE-downloader”, aldus het bedrijf in een rapport van dinsdag.
“Tijdens deze operaties vertrouwt het cluster op websites van derden, zoals GitHub, Vimeo en Ars Technica, om gecodeerde extra fasen te hosten, die het vroeg in de uitvoeringsketen via PowerShell downloadt en decodeert.”
Er wordt aangenomen dat UNC4990, actief sinds eind 2020, vanuit Italië opereert op basis van het uitgebreide gebruik van de Italiaanse infrastructuur voor commando- en controledoeleinden (C2).
Het is momenteel niet bekend of UNC4990 alleen functioneert als initiële toegangsfacilitator voor andere actoren. Het einddoel van de dreigingsactor is ook niet duidelijk, hoewel in één geval een open-source cryptocurrency-miner zou zijn ingezet na maanden van bakenactiviteit.
Details van de campagne werden eerder begin december 2023 gedocumenteerd door Fortgale en Yoroi, waarbij de eerste de tegenstander volgde onder de naam Nebula Broker.
De infectie begint wanneer een slachtoffer dubbelklikt op een kwaadaardig LNK-snelkoppelingsbestand op een verwijderbaar USB-apparaat, wat leidt tot de uitvoering van een PowerShell-script dat verantwoordelijk is voor het downloaden van EMPTYSPACE (ook bekend als BrokerLoader of Vetta Loader) van een externe server via een ander intermedia PowerShell-script gehost op Vimeo.
Yoroi zei dat het vier verschillende varianten van EMPTYSPACE heeft geïdentificeerd, geschreven in Golang, .NET, Node.js en Python, die vervolgens fungeren als kanaal voor het ophalen van volgende fase-payloads via HTTP van de C2-server, inclusief een achterdeur genaamd QUIETBOARD.
Een opmerkelijk aspect van deze fase is het gebruik van populaire sites zoals Ars Technica, GitHub, GitLab en Vimeo voor het hosten van de kwaadaardige lading.
“De inhoud die op deze diensten wordt gehost, vormde geen direct risico voor de dagelijkse gebruikers van deze diensten, omdat de inhoud die afzonderlijk werd gehost volkomen goedaardig was”, aldus Mandiant-onderzoekers. “Iedereen die in het verleden per ongeluk op deze inhoud heeft geklikt of deze heeft bekeken, liep geen risico te worden gehackt.”
QUIETBOARD daarentegen is een op Python gebaseerde achterdeur met een breed scala aan functies waarmee het willekeurige opdrachten kan uitvoeren, crypto-portemonnee-adressen kan wijzigen die naar het klembord zijn gekopieerd om geldoverdrachten om te leiden naar portefeuilles die onder hun controle staan, en de malware kan verspreiden naar verwisselbare schijven , maak schermafbeeldingen en verzamel systeeminformatie.
Bovendien is de achterdeur in staat tot modulaire uitbreiding en het uitvoeren van onafhankelijke Python-modules zoals muntmijnwerkers, evenals het dynamisch ophalen en uitvoeren van Python-code van de C2-server.
“De analyse van zowel EMPTYSPACE als QUIETBOARD suggereert hoe de bedreigingsactoren een modulaire aanpak hanteerden bij het ontwikkelen van hun toolset”, aldus Mandiant.
“Het gebruik van meerdere programmeertalen om verschillende versies van de EMPTYSPACE-downloader te maken en de URL-verandering toen de Vimeo-video werd verwijderd, tonen een aanleg voor experimenten en aanpassingsvermogen aan de kant van de bedreigingsactoren.”
