الشركات الإيطالية تتعرض لأضرار بسبب أجهزة USB المسلحة التي تنشر برامج Cryptojacking الضارة

يقوم أحد عناصر التهديد ذو الدوافع المالية المعروف باسم UNC4990 بالاستفادة من أجهزة USB المسلحة باعتبارها ناقل عدوى أولي لاستهداف المؤسسات في إيطاليا.

وقالت شركة مانديانت المملوكة لشركة جوجل إن الهجمات تستهدف قطاعات متعددة، بما في ذلك الصحة والنقل والبناء والخدمات اللوجستية.

وقالت الشركة في تقرير يوم الثلاثاء: "تتضمن عمليات UNC4990 بشكل عام عدوى USB واسعة النطاق يتبعها نشر برنامج تنزيل EMPTYSPACE" .

"خلال هذه العمليات، تعتمد المجموعة على مواقع ويب تابعة لجهات خارجية مثل GitHub وVimeo وArs Technica لاستضافة مراحل إضافية مشفرة، والتي تقوم بتنزيلها وفك تشفيرها عبر PowerShell في وقت مبكر من سلسلة التنفيذ."

تم تقييم UNC4990، النشط منذ أواخر عام 2020، على أنه يعمل خارج إيطاليا بناءً على الاستخدام المكثف للبنية التحتية الإيطالية لأغراض القيادة والسيطرة (C2).

من غير المعروف حاليًا ما إذا كان UNC4990 يعمل فقط كميسر وصول أولي للجهات الفاعلة الأخرى. الهدف النهائي لممثل التهديد غير واضح، على الرغم من أنه قيل في إحدى الحالات أنه تم نشر عامل تعدين للعملات المشفرة مفتوح المصدر بعد أشهر من نشاط التنبيه.

تم توثيق تفاصيل الحملة مسبقًا بواسطة Fortgale و Yoroi في أوائل ديسمبر 2023، حيث قام الأول بتتبع الخصم تحت اسم Nebula Broker.

تبدأ الإصابة عندما ينقر الضحية نقرًا مزدوجًا على ملف اختصار LNK ضار على جهاز USB قابل للإزالة، مما يؤدي إلى تنفيذ برنامج PowerShell النصي المسؤول عن تنزيل EMPTYSPACE (المعروف أيضًا باسم BrokerLoader أو Vetta Loader) من خادم بعيد عبر برنامج نصي PowerShell وسيط آخر مستضاف على فيميو.

قالت شركة Yoroi إنها حددت أربعة أنواع مختلفة من EMPTYSPACE مكتوبة بلغات Golang و.NET وNode.js وPython، والتي تعمل لاحقًا كقناة لجلب حمولات المرحلة التالية عبر HTTP من خادم C2، بما في ذلك باب خلفي يطلق عليه اسم QUIETBOARD.

أحد الجوانب البارزة في هذه المرحلة هو استخدام المواقع الشهيرة مثل Ars Technica وGitHub وGitLab وVimeo لاستضافة الحمولة الضارة.

وقال باحثو مانديانت: "إن المحتوى المستضاف على هذه الخدمات لا يشكل أي خطر مباشر على المستخدمين العاديين لهذه الخدمات، حيث أن المحتوى المستضاف بشكل منفصل كان حميدا تماما". "أي شخص قام بالنقر على هذا المحتوى أو شاهده عن غير قصد في الماضي لم يكن معرضًا لخطر التعرض للخطر."

من ناحية أخرى، يعد QUIETBOARD بابًا خلفيًا يعتمد على Python مع مجموعة واسعة من الميزات التي تسمح له بتنفيذ أوامر عشوائية، وتغيير عناوين محفظة العملات المشفرة المنسوخة إلى الحافظة لإعادة توجيه تحويلات الأموال إلى المحافظ الخاضعة لسيطرتها، ونشر البرامج الضارة إلى محركات الأقراص القابلة للإزالة والتقاط لقطات الشاشة وجمع معلومات النظام.

بالإضافة إلى ذلك، فإن الباب الخلفي قادر على التوسع المعياري وتشغيل وحدات Python المستقلة مثل عمال مناجم العملات بالإضافة إلى جلب كود Python وتنفيذه ديناميكيًا من خادم C2.

وقال مانديانت: "يشير تحليل كل من EMPTYSPACE وQUIEETBOARD إلى كيفية اتباع الجهات الفاعلة في التهديد لمنهج معياري في تطوير مجموعة أدواتها".

"إن استخدام لغات برمجة متعددة لإنشاء إصدارات مختلفة من برنامج تنزيل EMPTYSPACE وتغيير عنوان URL عند إزالة فيديو Vimeo يُظهر استعدادًا للتجريب والقدرة على التكيف من جانب الجهات الفاعلة في التهديد."