UNC4990 小组已经证明,即使过时的技术仍然非常有效。
名为 UNC4990 的网络犯罪分子在意大利非常活跃,他们使用受感染的 USB 设备攻击医疗保健、运输、建筑和物流等多个行业。 Mandiant于 1 月30 日宣布了这一消息。
UNC4990 组织自 2020 年底以来一直活跃,据信总部位于意大利。他们使用意大利基础设施来管理和控制(C2)他们的运营。主要攻击方法是通过 USB 分发恶意软件,从而导致 EMPTYSPACE 引导加载程序的安装。
攻击者使用 GitHub、Vimeo 和 Ars Technica 等网站来托管额外的有效负载。在这种情况下,使用PowerShell从这些站点下载并解密恶意文件。
UNC4990 的最终目标仍不清楚,尽管在其中一个案例中,专家确定了加密货币矿工的使用,这可能表明该组织的财务动机。
12 月初, Fortgale 和 Yoroi 的研究人员记录了同样的恶意活动 。感染始于受害者在可移动 USB 设备上启动恶意LNK文件,这导致启动负责从远程服务器加载 EMPTYSPACE 的 PowerShell 脚本。
Yoroi 确定了 EMPTYSPACE 的四种风格,分别用Golang、.NET、Node.js和Python编写。这些选项用于从 C2 服务器下载下一阶段的恶意软件,包括 QUIETBOARD。
QUIETBOARD 是一个 Python 后门,具有广泛的功能:从执行任意命令到更改加密货币钱包地址和收集系统信息。该后门还能够传播到可移动存储设备并截取屏幕截图。
尽管攻击者使用流行的网站来托管他们的恶意软件,但 Mandiant 专家表示,这些网站的内容不会对普通用户构成直接威胁,因为托管的程序在孤立的情况下是无害的。
对 EMPTYSPACE 和 QUIETBOARD 的分析还表明,攻击者正在采用模块化方法来开发他们的工具,展示了实验性方法和适应性。
所考虑的网络事件证明,即使是坦率地说旧的妥协方法(例如分发受感染的 USB 驱动器)仍然有效,并且内置安全系统通常无法识别它们。
像这样的攻击表明需要不断改进网络防御以领先于黑客。只有包括技术、流程和人为因素在内的综合方法才能确保适当的安全级别。
发表评论
您还未登录,请先登录。
登录