意大利医疗与运输行业遭遇UNC4990威胁攻击
关键要点
UNC4990威胁行动针对意大利的健康、运输和物流组织展开新一轮攻击。攻击手法使用恶意USB驱动器,以分发托管在常用网站上的恶意软件。USB驱动器感染了一种恶意的LNK文件,激活时会下载EMPTYSPACE加载器,该加载器后续可以获取带有加密挖矿和任意命令执行能力的QUIETBOARD后门。意大利的医疗、运输和物流行业近期成为UNC4990威胁行动的新目标,受到了一场新攻击运动的影响。根据《黑客新闻》的报道,这一攻击活动涉及了武器化USB驱动器,以促进恶意软件的传播。该攻击起始于USB驱动器被广泛感染了恶意的LNK文件,这个文件在双击后会触发一个PowerShell脚本,随后下载EMPTYSPACE加载器,也被称为Vetta Loader或BrokerLoader,初步由Mandiant的报告确认。
研究人员表示,威胁行动者会利用EMPTYSPACE从Ars Technica、GitHub和Vimeo等网站中检索具有加密挖矿和任意命令执行能力的QUIETBOARD后门。Mandiant指出:“对EMPTYSPACE和QUIETBOARD的分析表明,威胁行为者在开发其工具集时采取了模块化的方式。使用多种编程语言来创建不同版本的EMPTYSPACE下载器,以及在Vimeo视频被下架时URL的变化,显示出这些威胁行为者在实验和适应能力上的倾向。”
一元机场梯子官网相关信息
威胁组件描述USB驱动器含恶意LNK文件,通过用户点击触发攻击EMPTYSPACE加载器下载后门和其他恶意代码QUIETBOARD提供加密挖矿和命令执行功能Mandiant表示,威胁行为者展示了其工具的高度灵活性和实验性,显示了对其攻击手段的持续改进与适应。
