Группа UNC4990 доказала, что даже вышедшие из употребления техники до сих пор остаются вполне эффективными.
В Италии зарегистрирована активность киберпреступников, известных как UNC4990, которые используют заражённые USB-устройства для атак на различные отрасли, включая здравоохранение, транспорт, строительство и логистику. Об этом сообщила компания Mandiant 30 января.
Группировка UNC4990, активная с конца 2020 года, предположительно базируется в Италии. Они используют итальянскую инфраструктуру для управления и контроля (C2) своими операциями. Основной метод атаки — распространение вредоносного программного обеспечения через USB, что ведёт затем к установке загрузчика EMPTYSPACE.
Злоумышленники используют сайты, такие как GitHub, Vimeo и Ars Technica, для размещения дополнительных полезных нагрузок. При этом вредоносные файлы загружаются и расшифровываются с этих сайтов при помощи PowerShell.
Конечные цели UNC4990 пока неясны, хотя в одном из случаев специалистами было установлено использование криптовалютного майнера, что может указывать на финансовые мотивы группы.
В начале декабря эту же зловредную кампанию задокументировали исследователи из Fortgale и Yoroi . Заражение начинается запуска жертвой вредоносного LNK-файла на съёмном USB-устройстве, что приводит к запуску скрипта PowerShell, отвечающего за загрузку EMPTYSPACE с удалённого сервера.
Yoroi выделила четыре разновидности EMPTYSPACE, написанные на Golang, .NET, Node.js и Python. Эти варианты используются для загрузки следующих этапов вредоносного ПО с C2-сервера, включая QUIETBOARD.
QUIETBOARD — это бэкдор на Python с широким спектром возможностей: от выполнения произвольных команд до изменения адресов криптовалютных кошельков и сбора информации о системе. Бэкдор также способен распространяться на съёмные накопители и делать скриншоты.
Хотя злоумышленники используют популярные сайты для размещения своих вредоносных программ, эксперты Mandiant уверяют, что содержимое этих сайтов не представляет прямой угрозы для обычных пользователей, поскольку размещённые программы безвредны в изоляции.
Анализ EMPTYSPACE и QUIETBOARD также показывает, что злоумышленники применяют модульный подход в разработке своих инструментов, демонстрируя экспериментальный подход и адаптивность.
Рассмотренный киберинцидент доказывает, что даже откровенно старые методы компрометации, такие как распространение заражённых USB-носителей, до сих пор эффективно работает, а встроенные защитные системы зачастую не могут их распознать.
Подобные атаки указывают на необходимость постоянного совершенствования мер киберзащиты, чтобы опережать действия хакеров. Только комплексный подход, включающий технологии, процессы и человеческий фактор, может обеспечить должный уровень безопасности.
Одно найти легче, чем другое. Спойлер: это не темная материя