Компания Mandiant Managed Defense отслеживает UNC4990, агента, который активно использует USB-устройства для первоначального заражения. UNC4990 в основном нацелен на пользователей из Италии и, вероятно, руководствуется финансовыми соображениями. Согласно нашим исследованиям, эта кампания ведется по меньшей мере с 2020 года.
Несмотря на извечную тактику использования USB-накопителей, UNC4990 продолжает совершенствовать свои инструменты, тактику и процедуры (TTP). От использования, казалось бы, небезопасных закодированных текстовых файлов до размещения полезной нагрузки на популярных веб-сайтах, таких как Ars Technica, GitHub, GitLab и Vimeo.
Легитимные сервисы, которыми злоупотреблял UNC4990 (включая Ars Technica, GitHub, GitLab и Vimeo), не предполагали использования каких-либо известных или неизвестных уязвимостей на этих сайтах, и ни одна из этих организаций не была неправильно сконфигурирована, чтобы позволить такое злоупотребление. Кроме того, контент, размещенный на этих сервисах, не представлял непосредственной опасности для обычных пользователей этих сервисов, так как размещенный в изоляции контент был полностью доброкачественным. Любой, кто мог случайно нажать или просмотреть этот контент в прошлом, не подвергался риску взлома.
Mandiant наблюдала, как UNC4990 использовал EMPTYSPACE (также известный как VETTA Loader и BrokerLoader), загрузчик, который может выполнить любую полезную нагрузку, обслуживаемую командно-контрольным (C2) сервером, и QUIETBOARD, который представляет собой бэкдор, доставленный с помощью EMPTYSPACE.
Indicators of Compromise
URLs
- http://geraldonsboutique.altervista.org/updater.php
- http://ncnskjhrbefwifjhww.tk/updater.php
- http://studiofotografico35mm.altervista.org/updater.php
- https://arstechnica.com/civis/members/frncbf22.1062014/about/
- https://bobsmith.apiworld.cf/license.php
- https://captcha.grouphelp.top/updater.php
- https://captcha.tgbot.it/updater.php
- https://davebeerblog.eu.org/wp-admin.php
- https://eldi8.github.io/src.txt
- https://eu1.microtunnel.it/c0s1ta/index.php
- https://euserv3.herokuapp.com/c0s1ta/index.php
- https://evh001.gitlab.io/src.txt
- https://evinfeoptasw.dedyn.io/updater.php
- https://lucaespo.altervista.org/updater.php
- https://lucaesposito.herokuapp.com/c0s1ta/index.php
- https://luke.compeyson.eu.org/runservice/api/public.php
- https://luke.compeyson.eu.org/runservice/api/public_result.php
- https://luke.compeyson.eu.org/wp-admin.php
- https://monumental.ga/wp-admin.php
- https://vimeo.com/api/v2/video/804838895.json
- https://wjecpujpanmwm.tk/updater.php
- https://wjecpujpanmwm.tk/updater.php?from=USB1
SHA256
- 060882f97ace7cb6238e714fd48b3448939699e9f085418af351c42b401a1227
- 15d977dae1726c2944b0b4965980a92d8e8616da20e4d47d74120073cbc701b3
- 26d93501cb9d85b34f2e14d7d2f3c94501f0aaa518fed97ce2e8d9347990decf
- 26e943db620c024b5e87462c147514c990f380a4861d3025cf8fc1d80a74059a
- 539a79f716cf359dceaa290398bc629010b6e02e47eaed2356074bffa072052f
- 6fb4945bb73ac3f447fb7af6bd2937395a067a6e0c0900886095436114a17443
- 71c9ce52da89c32ee018722683c3ffbc90e4a44c5fba2bd674d28b573fba1fdc
- 72f1ba6309c98cd52ffc99dd15c45698dfca2d6ce1ef0bf262433b5dfff084be
- 7c793cc33721bae13e200f24e8d9f51251dd017eb799d0172fd647acab039027
- 84674ae8db63036d1178bb42fa5d1b506c96b3b22ce22a261054ef4d021d2c69
- 8a492973b12f84f49c52216d8c29755597f0b92a02311286b1f75ef5c265c30d
- 8c25b73245ada24d2002936ea0f3bcc296fdcc9071770d81800a2e76bfca3617
- 98594dfae6031c9bdf62a4fe2e2d2821730115d46fca61da9a6cc225c6c4a750
- a4f20b60a50345ddf3ac71b6e8c5ebcb9d069721b0b0edc822ed2e7569a0bb40
- b9ffba378d4165f003f41a619692a8898aed2e819347b25994f7a5e771045217
- d09d1a299c000de6b7986078518fa0defa3278e318c7f69449c02f177d3228f0