- 13,852
- 20
- 8 Ноя 2022
Группа UNC4990 доказала, что даже вышедшие из употребления техники до сих пор остаются вполне эффективными.
В Италии зарегистрирована активность киберпреступников, известных как UNC4990, которые используют заражённые USB-устройства для атак на различные отрасли, включая здравоохранение, транспорт, строительство и логистику. Об этом Для просмотра ссылки Войдиили Зарегистрируйся компания Mandiant 30 января.
Группировка UNC4990, активная с конца 2020 года, предположительно базируется в Италии. Они используют итальянскую инфраструктуру для управления и контроля ( C2 ) своими операциями. Основной метод атаки — распространение вредоносного программного обеспечения через USB, что ведёт затем к установке загрузчика EMPTYSPACE.
Злоумышленники используют сайты, такие как GitHub, Vimeo и Ars Technica, для размещения дополнительных полезных нагрузок. При этом вредоносные файлы загружаются и расшифровываются с этих сайтов при помощи PowerShell .
Конечные цели UNC4990 пока неясны, хотя в одном из случаев специалистами было установлено использование криптовалютного майнера, что может указывать на финансовые мотивы группы.
В начале декабря эту же зловредную кампанию задокументировали исследователи из Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Заражение начинается запуска жертвой вредоносного LNK -файла на съёмном USB-устройстве, что приводит к запуску скрипта PowerShell, отвечающего за загрузку EMPTYSPACE с удалённого сервера.
Yoroi выделила четыре разновидности EMPTYSPACE, написанные на Golang , .NET , Node.js и Python . Эти варианты используются для загрузки следующих этапов вредоносного ПО с C2-сервера, включая QUIETBOARD.
QUIETBOARD — это бэкдор на Python с широким спектром возможностей: от выполнения произвольных команд до изменения адресов криптовалютных кошельков и сбора информации о системе. Бэкдор также способен распространяться на съёмные накопители и делать скриншоты.
Хотя злоумышленники используют популярные сайты для размещения своих вредоносных программ, эксперты Mandiant уверяют, что содержимое этих сайтов не представляет прямой угрозы для обычных пользователей, поскольку размещённые программы безвредны в изоляции.
Анализ EMPTYSPACE и QUIETBOARD также показывает, что злоумышленники применяют модульный подход в разработке своих инструментов, демонстрируя экспериментальный подход и адаптивность.
Рассмотренный киберинцидент доказывает, что даже откровенно старые методы компрометации, такие как распространение заражённых USB-носителей, до сих пор эффективно работает, а встроенные защитные системы зачастую не могут их распознать.
Подобные атаки указывают на необходимость постоянного совершенствования мер киберзащиты, чтобы опережать действия хакеров. Только комплексный подход, включающий технологии, процессы и человеческий фактор, может обеспечить должный уровень безопасности.
В Италии зарегистрирована активность киберпреступников, известных как UNC4990, которые используют заражённые USB-устройства для атак на различные отрасли, включая здравоохранение, транспорт, строительство и логистику. Об этом Для просмотра ссылки Войди
Группировка UNC4990, активная с конца 2020 года, предположительно базируется в Италии. Они используют итальянскую инфраструктуру для управления и контроля ( C2 ) своими операциями. Основной метод атаки — распространение вредоносного программного обеспечения через USB, что ведёт затем к установке загрузчика EMPTYSPACE.
Злоумышленники используют сайты, такие как GitHub, Vimeo и Ars Technica, для размещения дополнительных полезных нагрузок. При этом вредоносные файлы загружаются и расшифровываются с этих сайтов при помощи PowerShell .
Конечные цели UNC4990 пока неясны, хотя в одном из случаев специалистами было установлено использование криптовалютного майнера, что может указывать на финансовые мотивы группы.
В начале декабря эту же зловредную кампанию задокументировали исследователи из Для просмотра ссылки Войди
Yoroi выделила четыре разновидности EMPTYSPACE, написанные на Golang , .NET , Node.js и Python . Эти варианты используются для загрузки следующих этапов вредоносного ПО с C2-сервера, включая QUIETBOARD.
QUIETBOARD — это бэкдор на Python с широким спектром возможностей: от выполнения произвольных команд до изменения адресов криптовалютных кошельков и сбора информации о системе. Бэкдор также способен распространяться на съёмные накопители и делать скриншоты.
Хотя злоумышленники используют популярные сайты для размещения своих вредоносных программ, эксперты Mandiant уверяют, что содержимое этих сайтов не представляет прямой угрозы для обычных пользователей, поскольку размещённые программы безвредны в изоляции.
Анализ EMPTYSPACE и QUIETBOARD также показывает, что злоумышленники применяют модульный подход в разработке своих инструментов, демонстрируя экспериментальный подход и адаптивность.
Рассмотренный киберинцидент доказывает, что даже откровенно старые методы компрометации, такие как распространение заражённых USB-носителей, до сих пор эффективно работает, а встроенные защитные системы зачастую не могут их распознать.
Подобные атаки указывают на необходимость постоянного совершенствования мер киберзащиты, чтобы опережать действия хакеров. Только комплексный подход, включающий технологии, процессы и человеческий фактор, может обеспечить должный уровень безопасности.
- Источник новости
- www.securitylab.ru
