Mandiant ha di recente monitorato un attore motivato finanziariamente e noto per utilizzare dispositivi USB per l’infezione iniziale ma che evolve continuamente i propri strumenti, tattiche e procedure. Identificato con il nome in codice UNC4990, l’autore delle minacce che si rivolgerebbe principalmente agli utenti con sede in Italia, starebbe adesso sfruttando l’hosting di payload su siti Web popolari come Ars Technica, GitHub, GitLab e Vimeo, nascosti in stringhe di testo offuscate su annunci, didascalie video e informazioni di profili di utenti.
Sebbene questi payload non comportino rischi per gli utenti che visitano queste pagine Web e l’abuso dei suddetti servizi legittimi non comporti lo sfruttamento di alcuna vulnerabilità nota o sconosciuta, tuttavia risultano fondamentali nella catena d’infezione di UNC4990 per scaricare ed eseguire malware.
La catena d’infezione
L’attacco inizierebbe facendo doppio click su un file di collegamento .LNK dannoso presente su di un’unità USB (non è noto come i dispositivi USB compromessi raggiungano le vittime per avviare la catena d’infezione) eseguendo uno script PowerShell “explorer.ps1”, che a sua volta scarica e installa un payload intermedio, decodificando la stringa di testo presente nei siti web popolari e legittimi.
Pertanto lo script PowerShell decodifica, decrittografa ed esegue il payload intermedio recuperato e rilascia il downloader EMPTYSPACE sul sistema infetto, deputato a stabilire la comunicazione con il proprio server C2 per distribuire una backdoor denominata “QUIETBOARD“, nonché dei CoinMiners.
EMPTYSPACE e QUIETBOARD
Mandiant ha identificato molteplici varianti di EMPTYSPACE, tipicamente denominate Runtime Broker e scritte in Node.js, .NET e Python, sebbene Yoroi abbia notato anche un’ulteriore variante scritta in Golang.
Per quanto riguarda QUIETBOARD i ricercatori spiegano che trattasi di una backdoor multicomponente precompilata basata su Python che offre un’ampia gamma di funzionalità fornite e gestite tramite i suoi vari componenti. Sarebbe in grado di eseguire comandi arbitrari, manipolazione del contenuto degli appunti per furto di cryptovaluta, infezione di unità USB/rimovibili, screenshot, raccolta di informazioni di sistema e comunicazione con il server C2.
Una minaccia sempre in evoluzione
Mandiant conclude il suo rapporto sostenendo che UNC4990 predilige sperimentare e affinare sempre nuove strategie per la sue catene di attacco come per l’appunto questa tattica di abusare di siti legittimi per impiantare carichi utili intermedi. Infatti il vantaggio di ospitare i payload su piattaforme legittime e affidabili (beneficiando delle reti di distribuzione di tali piattaforme) è che essendo considerate affidabili dai sistemi di sicurezza, si riduce la probabilità che vengano contrassegnati come sospetti dai sistemi di sicurezza convenzionali, rendendo più difficile individuare e rimuovere il codice dannoso.
Questo studio mette in luce come il veicolare malware tramite dispostivi USB continui a rappresentare per il crimine informatico un vettore di propagazione ancora efficace.