Un actor de amenazas conocido como UNC4990 está atacando organizaciones en Italia a través de dispositivos USB infectados. La empresa de seguridad Mandiant, propiedad de Google, declaró que los ataques afectan a múltiples sectores, incluyendo salud, transporte, construcción y logística. UNC4990 utiliza sitios web de terceros como GitHub, Vimeo y Ars Technica para alojar etapas adicionales codificadas, las cuales descarga y decodifica a través de PowerShell. Se cree que el actor de amenazas está operando desde Italia debido al uso extensivo de la infraestructura italiana con fines de comando y control (C2). La infección comienza cuando una víctima hace doble clic en un archivo de acceso directo LNK malicioso en un dispositivo USB extraíble. Actualmente no se sabe si UNC4990 funciona como facilitador de acceso inicial para otros actores o cuál es su objetivo final.
Fortgale y Yoroi previamente documentaron detalles de la campaña a principios de diciembre de 2023, siendo el primero quien rastreó al adversario bajo el nombre de Nebula Broker. Yoroi informó haber identificado cuatro variantes diferentes de EMPTYSPACE (también conocido como BrokerLoader o Vetta Loader) escritas en Golang, .NET, Node.js y Python, las cuales actúan posteriormente como conducto para obtener cargas útiles de siguiente etapa a través de HTTP desde el servidor C2, incluyendo una puerta trasera llamada QUIETBOARD.
QUIETBOARD es una puerta trasera basada en Python con una amplia gama de características que le permiten ejecutar comandos arbitrarios, modificar las direcciones de las carteras de criptomonedas copiadas al portapapeles para redirigir transferencias de fondos a carteras bajo su control, propagar el malware a unidades extraíbles, tomar capturas de pantalla y recopilar información del sistema. Además, la puerta trasera es capaz de expansión modular y de ejecutar módulos Python independientes como mineros de monedas, así como de obtener y ejecutar dinámicamente código Python del servidor C2.
El análisis de ambos EMPTYSPACE y QUIETBOARD sugiere cómo los actores de amenazas tomaron un enfoque modular en el desarrollo de su conjunto de herramientas. El uso de múltiples lenguajes de programación para crear diferentes versiones del descargador EMPTYSPACE y el cambio de URL cuando se eliminó el video de Vimeo muestran una predisposición a la experimentación y adaptabilidad en el lado de los actores de amenazas.
En resumen, UNC4990 está utilizando dispositivos USB infectados para atacar organizaciones en Italia como vector de infección inicial. La infección comienza cuando una víctima hace doble clic en un archivo LNK malicioso en un dispositivo USB extraíble. La puerta trasera QUIETBOARD es capaz de ejecutar comandos arbitrarios, propagar el malware a unidades extraíbles, tomar capturas de pantalla y recopilar información del sistema. El análisis de ambos EMPTYSPACE y QUIETBOARD sugiere cómo los actores de amenazas utilizaron un enfoque modular en el desarrollo de su conjunto de herramientas.
Vía: The Hacker News
