Aziende Italiane vittime di USB Cryptojacking da parte di UNC4990

da Redazione
0 commenti 2 minuti leggi

Un attore di minaccia motivato finanziariamente, noto come UNC4990, sta utilizzando dispositivi USB armati come vettore di infezione iniziale per colpire organizzazioni in Italia. Mandiant, di proprietร  di Google, ha riferito che gli attacchi prendono di mira piรน industrie, tra cui sanitร , trasporti, costruzioni e logistica.

Operazioni di UNC4990

Le operazioni di UNC4990 coinvolgono generalmente una diffusa infezione tramite USB seguita dal dispiegamento del downloader EMPTYSPACE. Durante queste operazioni, il cluster si affida a siti web di terze parti come GitHub, Vimeo e Ars Technica per ospitare le fasi aggiuntive codificate, che vengono scaricate e decodificate tramite PowerShell allโ€™inizio della catena di esecuzione.

Annunci

Contesto dellโ€™attore di minaccia

UNC4990, attivo dalla fine del 2020, รจ valutato come operante dallโ€™Italia basandosi sullโ€™uso estensivo di infrastrutture italiane per scopi di comando e controllo (C2). Attualmente non รจ noto se UNC4990 funzioni solo come facilitatore di accesso iniziale per altri attori. Lโ€™obiettivo finale dellโ€™attore di minaccia non รจ chiaro, sebbene in un caso si dice che sia stato dispiegato un miner di criptovalute open-source dopo mesi di attivitร  di beaconing.

Dettagli della campagna

image 234
Aziende Italiane vittime di USB Cryptojacking da parte di UNC4990 7

La campagna รจ stata documentata precedentemente da Fortgale e Yoroi allโ€™inizio di dicembre 2023, con il primo che traccia lโ€™avversario con il nome di Nebula Broker. Lโ€™infezione inizia quando una vittima fa doppio clic su un file di collegamento LNK malevolo su un dispositivo USB rimovibile, portando allโ€™esecuzione di uno script PowerShell responsabile del download di EMPTYSPACE (aka BrokerLoader o Vetta Loader) da un server remoto tramite un altro script PowerShell intermedio ospitato su Vimeo.

Caratteristiche del backdoor QUIETBOARD

QUIETBOARD รจ un backdoor basato su Python con unโ€™ampia gamma di funzionalitร  che gli permettono di eseguire comandi arbitrari, alterare gli indirizzi dei portafogli crittografici copiati negli appunti per reindirizzare i trasferimenti di fondi a portafogli sotto il loro controllo, propagare il malware a unitร  rimovibili, fare screenshot e raccogliere informazioni sul sistema. Inoltre, il backdoor รจ capace di espansione modulare e di esecuzione di moduli Python indipendenti come i miner di monete, oltre a recuperare ed eseguire dinamicamente codice Python dal server C2.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara