Mandiant Managed Defense ha emesso di recente un’allerta cruciale riguardante un attacco informatico attivo dal 2020, focalizzato soprattutto sulle aziende italiane. L’artefice di questa minaccia è UNC4990, un attore che ha perfezionato un approccio basato sull’utilizzo intensivo di chiavette USB per orchestrare una campagna di infezione.
Anche se ricorre a una tattica datata, trasformando le chiavette USB in armi, UNC4990 dimostra un costante adattamento delle proprie strategie, tattiche e procedure (TTP). Inizialmente, l’attore si serviva di file di testo codificati in modo apparentemente innocuo, ma ha successivamente migrato verso l’hosting di payload su piattaforme web di risonanza come Ars Technica, GitHub, GitLab e Vimeo. Degno di nota è l’abuso di servizi legittimi senza sfruttare vulnerabilità o errori di configurazione in tali siti.
Attacco hacker: Ecco come avviene
Il modus operandi dell’attacco di UNC4990 coinvolge il caricamento di post apparentemente innocui, contenenti immagini o video innocui su servizi come Ars Technica e GitHub. All’interno di questi contenuti, vengono inserite URL con stringhe di testo lunghe e casuali, che ospitano payload in formato Base64. In isolamento, il contenuto non rappresenta alcun rischio diretto per gli utenti che vi accedono inavvertitamente.
EMPTYSPACE (noto anche come VETTA Loader e BrokerLoader) e QUIETBOARD sono gli strumenti chiave utilizzati da UNC4990:
- il primo è un downloader capace di eseguire qualsiasi carico utile fornito dal server di comando e controllo (C2)
- mentre il secondo è una backdoor distribuita attraverso EMPTYSPACE.
Il ciclo di vita dell’infezione ha un punto di partenza comune: la vittima fa doppio clic su un file di collegamento LNK dannoso su una chiavetta USB rimovibile. Questi file LNK, spesso denominati in base al fornitore o all’etichetta dell’unità, attivano uno script PowerShell dannoso denominato explorer.ps1. Questo script scarica e decodifica un payload aggiuntivo, che, nei casi analizzati da Mandiant, è risultato essere il downloader EMPTYSPACE.
Insomma, UNC4990 rappresenta una minaccia persistente e in continua evoluzione, con una sorprendente capacità di adattarsi e aggirare le misure di sicurezza tradizionali. Le aziende italiane sono fortemente consigliate a rafforzare la consapevolezza sulla sicurezza informatica e ad adottare misure preventive per mitigare questa minaccia in costante evoluzione.
