UNC4990으로 알려진 사이버 공격자는 2022년 말부터 이탈리아의 조직에 침투하기 위해 무기화된 USB 장치를 적극적으로 활용하고있다.. 구글 맨디언트는 최근 이들의 정교한 공굑작전을 조명하면서 이들이 명령 및 제어(C2) 목적으로 이탈리아 인프라를 광범위하게 사용하고 있다고 밝혔다..
UNC4990의 공격 방식은 다단계 공격으로, 피해자가 이동식 USB 디바이스에 있는 악성 LNK 바로가기 파일을 두 번클릭하면 자신도 모르게 감염이 시작된다. 그러면 비메오와 같은 인기 있는 플랫폼에서 호스팅되는 중간 파워쉘 스크립트를 통해 원격 서버에서 EMPTYSPACE(브로커로더)를 다운로드하는 파워쉘 스크립트가 실행된다.
맨디언트의 분석 결과, 각기 다른 프로그래밍 언어(Golang, .NET, Node.js, Python 등)로 작성된 네 가지의EMPTYSPACE 변종이 발견되었다. 이러한 변종은 C2 서버에서 HTTP를 통해 다음 단계 페이로드를 가져오는 통로역할을 한다. 이 단계의 핵심적인 측면은 악성 페이로드를 숨기기 위해 Ars Technica, GitHub, GitLab, Vimeo와 같은평판이 좋은 사이트에서 호스팅되는 겉보기에 정상인 것처럼 보이는 콘텐츠를 사용하는것이다.. 중요한 것은 이러한서비스에서 호스팅되는 콘텐츠가 일반 사용자에게 직접적인 위험을 초래하지 않는다는 것이다.
피해자의 시스템에 침투한 UNC4990은 다양한 기능을 갖춘 파이썬 기반 멀웨어인 콰이어트보드 백도어를 배포한다. 콰이어트보드는 임의의 명령을 실행하고, 암호화폐 지갑 주소를 조작해 자금 이체를 리디렉션하고, 이동식 드라이브를통해 전파하고, 스크린샷을 찍고, 시스템 정보를 수집할 수있다.. 특히, 이 백도어는 모듈식 확장이 가능해 코인 채굴기와 같은 독립적인 파이썬 모듈을 실행하고 C2 서버에서 파이썬 코드를 동적으로 가져와 실행할 수 있다.