Un acteur menaçant motivé par des raisons financières, connu sous le nom de UNC4990 exploite les périphériques USB armés comme vecteur d’infection initial pour cibler les organisations en Italie.
Mandiant, propriété de Google, a déclaré que les attaques ciblent plusieurs secteurs, notamment la santé, les transports, la construction et la logistique.
« Les opérations UNC4990 impliquent généralement une infection USB généralisée suivie du déploiement du téléchargeur EMPTYSPACE », a déclaré la société. dit dans un rapport de mardi.
« Au cours de ces opérations, le cluster s’appuie sur des sites Web tiers tels que GitHub, Vimeo et Ars Technica pour héberger des étapes supplémentaires codées, qu’il télécharge et décode via PowerShell au début de la chaîne d’exécution. »
L’UNC4990, actif depuis fin 2020, fonctionnerait depuis l’Italie sur la base de l’utilisation intensive de l’infrastructure italienne à des fins de commandement et de contrôle (C2).
On ne sait pas actuellement si l’UNC4990 fonctionne uniquement comme un facilitateur d’accès initial pour d’autres acteurs. L’objectif final de l’auteur de la menace n’est pas clair, même si dans un cas, un mineur de cryptomonnaie open source aurait été déployé après des mois d’activité de balisage.
Les détails de la campagne ont été précédemment documentés par Fortgale et Yoroi début décembre 2023, le premier traquant l’adversaire sous le nom de Nebula Broker.
L’infection commence lorsqu’une victime double-clique sur un fichier de raccourci LNK malveillant sur un périphérique USB amovible, conduisant à l’exécution d’un script PowerShell chargé de télécharger EMPTYSPACE (alias BrokerLoader ou Vetta Loader) depuis un serveur distant via un autre script PowerShell intermédiaire. hébergé sur Vimeo.
Yoroi a déclaré avoir identifié quatre variantes différentes d’EMPTYSPACE écrites en Golang, .NET, Node.js et Python, qui servent ensuite de canal pour récupérer les charges utiles de l’étape suivante via HTTP à partir du serveur C2, y compris une porte dérobée baptisée QUIETBOARD.
Un aspect notable de cette phase est l’utilisation de sites populaires comme Ars Technica, GitHub, GitLab et Vimeo pour héberger la charge utile malveillante.
« Le contenu hébergé sur ces services ne présentait aucun risque direct pour les utilisateurs quotidiens de ces services, car le contenu hébergé de manière isolée était totalement inoffensif », ont déclaré les chercheurs de Mandiant. « Quiconque aurait cliqué ou consulté ce contenu par inadvertance dans le passé ne risquait pas d’être compromis. »
QUIETBOARD, d’autre part, est une porte dérobée basée sur Python avec un large éventail de fonctionnalités qui lui permettent d’exécuter des commandes arbitraires, de modifier les adresses de portefeuilles cryptographiques copiées dans le presse-papiers pour rediriger les transferts de fonds vers les portefeuilles sous leur contrôle, de propager le malware sur des lecteurs amovibles. , prenez des captures d’écran et collectez des informations sur le système.
De plus, la porte dérobée est capable d’une extension modulaire et d’exécuter des modules Python indépendants tels que des mineurs de pièces, ainsi que de récupérer et d’exécuter dynamiquement du code Python à partir du serveur C2.
« L’analyse d’EMPTYSPACE et de QUIETBOARD suggère comment les acteurs de la menace ont adopté une approche modulaire dans le développement de leur ensemble d’outils », a déclaré Mandiant.
« L’utilisation de plusieurs langages de programmation pour créer différentes versions du téléchargeur EMPTYSPACE et le changement d’URL lorsque la vidéo Vimeo a été supprimée montrent une prédisposition à l’expérimentation et à l’adaptabilité de la part des acteurs de la menace. »