Um ator de ameaça motivado financeiramente conhecido como UNC4990 está utilizando dispositivos USB armados como um vetor de infecção inicial para atacar organizações na Itália.
A Mandiant, propriedade da Google, disse que os ataques visam múltiplas indústrias, incluindo saúde, transporte, construção e logística.
"As operações do UNC4990 geralmente envolvem infecção generalizada por USB, seguida pelo lançamento do downloader EMPTYSPACE", disse a empresa em um relatório de terça-feira.
"Durante essas operações, o cluster depende de sites terceirizados como GitHub, Vimeo e Ars Technica para hospedar estágios adicionais codificados, que ele baixa e decodifica via PowerShell logo no início da cadeia de execução."
UNC4990, ativo desde o final de 2020, é avaliado como operando na Itália com base no extenso uso da infraestrutura italiana para fins de comando e controle (C2).
Atualmente, não se sabe se o UNC4990 funciona apenas como um facilitador de acesso inicial para outros agentes.
O objetivo final do ator de ameaça não é claro, embora em uma instância um minerador de criptomoedas de código aberto tenha sido implantado após meses de atividade de beaconing.
Os detalhes da campanha foram documentados anteriormente por Fortgale e Yoroi em dezembro de 2023, com o primeiro rastreando o adversário sob o nome Nebula Broker.
A infecção começa quando uma vítima clica duas vezes em um arquivo de atalho LNK malicioso em um dispositivo USB removível, levando à execução de um script PowerShell que é responsável por baixar o EMPTYSPACE (também conhecido como BrokerLoader ou Vetta Loader) de um servidor remoto via outro script intermédio de PowerShell hospedado no Vimeo.
Yoroi disse que identificou quatro variantes diferentes do EMPTYSPACE escritas em Golang, .NET, Node.js e Python, que atuam subsequentemente como um conduto para buscar as payloads da próxima etapa via HTTP a partir do servidor C2, incluindo um backdoor apelidado de QUIETBOARD.
Um aspecto notável desta fase é o uso de sites populares como Ars Technica, GitHub, GitLab e Vimeo para hospedagem da payload maliciosa.
"O conteúdo hospedado nesses serviços não apresentava risco direto para os usuários comuns desses serviços, pois o conteúdo hospedado isoladamente era completamente benigno", disseram os pesquisadores da Mandiant.
"Qualquer pessoa que possa ter clicado ou visualizado inadvertidamente este conteúdo no passado não estava em risco de ser comprometida."
QUIETBOARD, por outro lado, é um backdoor baseado em Python com uma ampla gama de recursos que permitem executar comandos arbitrários, alterar endereços de carteira cripto copiados para a área de transferência para redirecionar transferências de fundos para carteiras sob seu controle, propagar o malware para unidades removíveis, tirar capturas de tela e coletar informações do sistema.
Além disso, o backdoor é capaz de expansão modular e execução independente de módulos Python como mineradores de moedas, além de buscar e executar dinamicamente código Python a partir do servidor C2.
"A análise de ambos, EMPTYSPACE e QUIETBOARD, sugere como os atores de ameaças adotaram uma abordagem modular no desenvolvimento de seu conjunto de ferramentas", disse a Mandiant.
"O uso de várias linguagens de programação para criar diferentes versões do downloader EMPTYSPACE e a mudança de URL quando o vídeo do Vimeo foi retirado mostram uma predisposição para experimentação e adaptabilidade por parte dos atores de ameaças."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...