Impresa Italiane Colpite da USB Manipolate che Diffondono Malware Cryptojacking
Le imprese italiane sono attualmente nel mirino di un attore minaccioso a scopo finanziario noto come UNC4990, che sfrutta dispositivi USB manipolati come vettore di infezione iniziale per colpire organizzazioni nel paese.
Secondo quanto riferito da Mandiant, di proprietà di Google, gli attacchi si concentrano su diverse industrie, tra cui sanità, trasporti, costruzioni e logistica.
Le operazioni UNC4990 coinvolgono generalmente la diffusione diffusa di infezioni tramite USB seguita dalla distribuzione del downloader EMPTYSPACE, ha dichiarato l’azienda in un rapporto pubblicato martedì.
In queste operazioni, il cluster si affida a siti web di terze parti come GitHub, Vimeo e Ars Technica per ospitare fasi aggiuntive codificate, che vengono scaricate e decodificate tramite PowerShell all’inizio della catena di esecuzione.
UNC4990, attivo dal tardo 2020, è stimato operare dall’Italia sulla base dell’ampio utilizzo di infrastrutture italiane a scopo di controllo e comando (C2).
Al momento non si sa se UNC4990 funzioni solo come facilitatore di accesso iniziale per altri attori.
L’obiettivo finale dell’attore minaccioso non è chiaro, anche se in un caso si sostiene che sia stato dispiegato un miner di criptovaluta open-source dopo mesi di attività di beaconing.
I dettagli della campagna sono stati precedentemente documentati da Fortgale e Yoroi all’inizio di dicembre 2023, con il primo che traccia l’avversario con il nome Nebula Broker.
L’infezione inizia quando una vittima fa doppio clic su un file LNK di collegamento dannoso su un dispositivo USB rimovibile, portando all’esecuzione di uno script PowerShell responsabile del download di EMPTYSPACE (aka BrokerLoader o Vetta Loader) da un server remoto tramite un altro script PowerShell intermedio ospitato su Vimeo. Cryptojacking Malware
Yoroi ha identificato quattro diverse varianti di EMPTYSPACE scritte in Golang, .NET, Node.js e Python, che agisce successivamente come un condotto per il recupero di payload di fase successiva tramite HTTP dal server C2, tra cui un backdoor chiamato QUIETBOARD.
Un aspetto notevole di questa fase è l’uso di siti popolari come Ars Technica, GitHub, GitLab e Vimeo per ospitare il payload dannoso.
I contenuti ospitati su questi servizi non rappresentavano un rischio diretto per gli utenti quotidiani di questi servizi, poiché il contenuto ospitato in isolamento era completamente benigno, hanno dichiarato i ricercatori di Mandiant.
Chiunque abbia cliccato o visualizzato accidentalmente questo contenuto in passato non era a rischio di compromissione. Cybersecurity
QUIETBOARD, d’altra parte, è un backdoor basato su Python con una vasta gamma di funzionalità che gli consentono di eseguire comandi arbitrari, modificare gli indirizzi del portafoglio crittografico copiati negli appunti per reindirizzare i trasferimenti di fondi verso portafogli sotto il loro controllo, propagare il malware su unità rimovibili, acquisire screenshot e raccogliere informazioni di sistema.
Inoltre, il backdoor è in grado di espansione modulare ed esecuzione di moduli Python indipendenti come miner di criptovaluta, oltre a recuperare dinamicamente ed eseguire codice Python dal server C2.
L’analisi di EMPTYSPACE e QUIETBOARD suggerisce come gli attori minacciosi abbiano adottato un approccio modulare nello sviluppo del loro set di strumenti”, ha dichiarato Mandiant.
L’uso di più linguaggi di programmazione per creare diverse versioni del downloader EMPTYSPACE e il cambio dell’URL quando il video Vimeo è stato rimosso mostrano una predisposizione per l’esperimento e l’adattabilità da parte degli attori minacciosi.