UNC4990 olarak takip edilen mali motivasyonlu bir tehdit aktörü, gizlice kötü amaçlı yazılım dağıtmak için bubi tuzaklı USB depolama cihazlarını ve Ars Technica, Vimeo, GitHub ve GitLab gibi popüler web sitelerinde barındırılan kötü amaçlı yükleri kullanıyor.
UNC4990 ile ilgili bir diğer ilginç detay, çoğunlukla İtalya’da bulunan kuruluşları (özellikle sağlık, ulaşım, inşaat ve lojistik sektörleri) hedef alıyor ve muhtemelen bu ülkede de bulunuyor.
Mandiant araştırmacıları, “C2 için İtalyan blog platformlarının kullanılması da dahil olmak üzere, UNC4990 operasyonları boyunca İtalyan altyapısının kapsamlı kullanımına dayanarak, bu aktörün İtalya dışında faaliyet gösterdiğine inanıyoruz” dedi.
Kötü amaçlı yazılımların USB sürücüler aracılığıyla dağıtılması
Araştırmacılar, UNC4990’ın kötü amaçlı yazılım yüklü çıkarılabilir USB depolama aygıtlarını kurbanlara nasıl ulaştırdığını söylemedi, ancak içerdiği kötü amaçlı LNK kısayol dosyasının oldukça “tıklanabilir” olduğunu belirtti: USB aygıtının satıcısına ve depolama boyutuna göre adlandırılıyor. örneğin Kingston (32GB) – ve sürücüler için Microsoft Windows varsayılan simgesini kullanır.
Kurban LNK dosyasına çift tıkladığında, adlı bir PowerShell betiği görüntülenir. explorer.ps1 yürütülür ve şunu getirir:
- GitHub veya GitLab’da barındırılan bir metin dosyası ve
- Vimeo’dan (Pink Floyd ile ilgili bir videonun açıklamasına eklenmiştir) veya Ars Technica haber forumundan (yük, kayıtlı bir kullanıcının Hakkında bölümünde bulunan profil görselinin URL’sine eklenmiştir) bir JSON verisi
Vimeo video açıklamasındaki yük (Kaynak: Mandiant)
İki öğe, son verinin bulunduğu URL’yi çıkarmak ve onu indirip yürütmek için birleştirilir.
Bu yük (EMPTYSPACE), bir komuta ve kontrol (C2) sunucusuna bağlanan ve söylendiğinde ek yükleri indiren bir damlalıktır.
Bunların arasında QUIETBOARD adlı bir arka kapı yer alıyor; “keyfi komut yürütme, kripto para hırsızlığı için pano içeriği manipülasyonu, USB/çıkarılabilir sürücü enfeksiyonu, ekran görüntüsü alma, sistem bilgisi toplama ve C2 sunucusuyla iletişim kurma yeteneğine sahip” ve ayrıca “modüler veri işleme yeteneği” genişletme ve bağımsız Python tabanlı kod/modülleri çalıştırma.”
Meşru sitelerin ve hizmetlerin alışılmadık kullanımı
Araştırmacılar, “UNC4990 tarafından kötüye kullanılan meşru hizmetler (…) bu sitelerdeki bilinen veya bilinmeyen güvenlik açıklarından yararlanmayı içermiyordu ve bu kuruluşların hiçbirinde bu kötüye kullanıma izin verecek şekilde yanlış yapılandırılmış herhangi bir şey yoktu” dedi.
“Ayrıca, bu hizmetlerde barındırılan içerik, bu hizmetlerin günlük kullanıcıları için doğrudan bir risk oluşturmuyordu, çünkü tek başına barındırılan içerik tamamen zararsızdı. Geçmişte bu içeriği yanlışlıkla tıklamış veya görüntülemiş olabilecek hiç kimse tehlikeye girme riskiyle karşı karşıya değildi.”
Hem Vimeo videosu hem de Ars Technica’daki görsel o zamandan beri kaldırıldı. Ars Technica, personelinin “bilinmeyen bir taraftan gelen e-postayla ihbar alındıktan sonra” 16 Aralık’ta görüntüyü kaldırdığını söyledi.