İtalyan İşletmeleri, Cryptojacking Yazılımını Yayan Silahlaştırılmış USB'ler Tarafından Saldırıya Uğradı

31.01.2024

UNC4990 adlı mali amaçlı bir tehdit aktörü, bir Google yan kuruluşu olan Mandiant'ın raporuna göre, İtalya'daki kuruluşları enfekte etmek için başlangıçta silahlandırılmış USB cihazlarını kullanmaktadır. Hedeflenen sektörler arasında sağlık, ulaşım, inşaat ve lojistik bulunmaktadır.

Salı günü yayımlanan Mandiant'ın raporu, tipik UNC4990 modus operandi'yi anlatmaktadır ve bu, yaygın USB enfeksiyonlarından sonra EMPTYSPACE indiricisinin kullanılmasını içermektedir. UNC4990, bu operasyonlar sırasında GitHub, Vimeo ve Ars Technica gibi üçüncü taraf web sitelerine başvurarak kodlanmış ek aşamaları barındırmaktadır. Bu aşamalar, yürütme zincirinin erken aşamalarında PowerShell aracılığıyla indirilir ve çözülür.

UNC4990, 2020'nin sonlarından bu yana faaldir ve İtalya'dan faaliyet gösterdiği, komuta ve kontrol (C2) amaçları için İtalyan altyapısını yoğun bir şekilde kullandığı belirlenmiştir. UNC4990'un nihai amacı belirsiz olsa da belgelenmiş bir durumda aylar süren sinyal gönderme faaliyetinin ardından açık kaynaklı bir kripto madenci dağıtıldığına dair bir örnek bulunmaktadır.

Fortgale ve Yoroi, kampanyanın detaylarını Aralık 2023'ün başlarında önce belgelemişler, Fortgale tehdit aktörünü Nebula Broker olarak adlandırmıştır. Enfeksiyon, kurbanın taşınabilir bir USB cihazındaki kötü amaçlı bir LNK kısayol dosyasına çift tıkladığında başlar ve Vimeo'da barındırılan ara bir PowerShell betiği aracılığıyla uzaktan bir sunucudan EMPTYSPACE'yi (ayrıca BrokerLoader veya Vetta Loader olarak da bilinir) indirmekten sorumlu olan bir PowerShell komut dosyasının yürütülmesini tetikler.

Yoroi, EMPTYSPACE'in Golang, .NET, Node.js ve Python'da yazılmış dört farklı varyantını tanımlamıştır. Bu varyantlar, C2 sunucudan HTTP üzerinden sonraki aşama yüklerini getirmek için birer araç olarak hareket eder, bunlar arasında QUIETBOARD adlı bir arka kapı bulunmaktadır.