Un gruppo di cyber-criminali, noto come UNC4990, ha preso di mira le imprese italiane, utilizzando dispositivi USB manipolati come principale vettore di infezione. Mandiant, una società di sicurezza di proprietà di Google, ha segnalato che gli attacchi sono diretti a diverse industrie, tra cui sanità, trasporti, costruzioni e logistica.
Le operazioni di UNC4990 coinvolgono tipicamente un diffuso metodo di infezione tramite USB, seguito dal rilascio di un downloader noto come EMPTYSPACE. In queste azioni, il gruppo sfrutta siti web di terze parti come GitHub, Vimeo e Ars Technica per ospitare ulteriori fasi del malware. Queste fasi aggiuntive vengono scaricate e decodificate tramite PowerShell all'inizio dell'esecuzione del processo malevolo.
UNC4990 è attivo dal 2020 e sembra operare dall'Italia, basando gran parte delle sue attività su infrastrutture italiane per il controllo e il comando. Attualmente, non è chiaro se UNC4990 funzioni solo come vettore per consentire l'accesso iniziale per altri criminali o se abbia obiettivi più ampi.
I dettagli di questa campagna sono stati precedentemente documentati da Fortgale e Yoroi a dicembre 2023. L'infezione inizia quando la vittima fa doppio clic su un file di collegamento LNK maligno su un dispositivo USB rimovibile.
Questo porta all'esecuzione di uno script PowerShell responsabile del download di EMPTYSPACE da un server remoto attraverso un altro script PowerShell ospitato su Vimeo.
Yoroi ha individuato quattro varianti di EMPTYSPACE scritte in Golang, .NET, Node.js e Python. EMPTYSPACE agisce poi come un canale per il recupero di carichi successivi dal server di comando e controllo (C2), incluso un backdoor chiamato QUIETBOARD.
Una caratteristica interessante di questa fase è l'utilizzo di siti popolari come Ars Technica, GitHub, GitLab e Vimeo per ospitare il payload malevolo.
Il backdoor QUIETBOARD è basato su Python e presenta una vasta gamma di funzionalità, tra cui l'esecuzione di comandi arbitrari, la modifica degli indirizzi del portafoglio crittografico copiati negli appunti per dirottare i trasferimenti di fondi, la propagazione del malware su unità rimovibili, la cattura di screenshot e la raccolta di informazioni di sistema.
Inoltre, il backdoor è in grado di espandersi in maniera modulare ed eseguire moduli Python indipendenti, quali i miner di criptovalute, oltre a recuperare dinamicamente, ed eseguire successivamente, codice Python dal server C2.
Mandiant ha sottolineato come l'analisi di EMPTYSPACE e QUIETBOARD riveli l'approccio modulare adottato dai cyber-criminali nello sviluppo del loro set di strumenti.
L'uso di diversi linguaggi di programmazione per creare varianti del downloader EMPTYSPACE, e la prontezza nel modificare l'URL quando il video di Vimeo è stato rimosso, evidenziano una predisposizione per la sperimentazione e l'adattabilità da parte di questi cyber-criminali.