النيتروجين البرمجيات الخبيثة

كشف الباحثون النقاب عن حملة وصول برمجيات خبيثة أولية يتتبعونها على أنها "نيتروجين". يستخدم مجرمو الإنترنت إعلانات بحث Google و Bing للترويج لمواقع البرامج المزيفة كوسيلة لإصابة الضحايا المطمئنين. يقع المستخدمون الذين يزورون هذه المواقع عن غير قصد ضحية لنشر حمولات Cobalt Strike و ransomware المهددة.

الهدف الأساسي من البرمجيات الخبيثة للنيتروجين هو منح الجهات المهددة نقطة دخول أولية إلى شبكات الشركات. بمجرد التسلل ، تكتسب الجهات الخبيثة القدرة على تنفيذ سرقة البيانات ، والانخراط في التجسس الإلكتروني ، وإطلاق العنان في النهاية لبرنامج BlackCat / ALPHV Ransomware المدمر.

كشف تحليل متعمق لحملة النيتروجين عن أهدافها الأساسية ، والتي تشمل في الغالب التكنولوجيا والمنظمات غير الربحية الموجودة في أمريكا الشمالية. ينفذ المهاجمون مخططهم من خلال انتحال صفة مزودي البرامج ذوي السمعة الطيبة مثل AnyDesk و Cisco AnyConnect VPN و TreeSize Free و WinSCP. يخدع هذا التكتيك المخادع المستخدمين ليصدقوا أنهم يصلون إلى برامج أصلية ، فقط ليتعرضوا بدلاً من ذلك لمخاطر برامج النيتروجين الضارة.

يضيف استخدام إعلانات بحث Google و Bing في هذه الحملة طبقة إضافية من التطور ، مما يمكّن الجهات الفاعلة في التهديد من الوصول إلى مجموعة أكبر من الضحايا المحتملين. من خلال الاستفادة من محركات البحث الشهيرة هذه ، يزيد المهاجمون من احتمالية إغراء المستخدمين بالنقر فوق روابط البرامج الاحتيالية ، وبالتالي بدء عملية الإصابة الخبيثة.

تستهدف البرامج الضارة للنيتروجين الضحايا من مواقع جغرافية محددة

تبدأ حملة Nitrogen Malware عندما يجري المستخدمون بحثًا على Google أو Bing عن العديد من تطبيقات البرامج المعروفة. من بين البرامج المستخدمة كطعم في هذه الحملة AnyDesk (تطبيق سطح مكتب بعيد) و WinSCP (عميل SFTP / FTP لنظام التشغيل Windows) و Cisco AnyConnect (مجموعة VPN) و TreeSize Free (أداة حاسبة لمساحة القرص ومدير). يعتمد اختيار البرامج المغرية على معايير استهداف المهاجمين.

عندما يبحث المستخدم عن أي من تطبيقات البرامج هذه ، يعرض محرك البحث المعني إعلانًا يبدو أنه يروج لمنتج البرنامج المحدد. دون قصد ، قد ينقر المستخدمون على هذه الإعلانات التي تبدو شرعية ، على أمل تنزيل البرنامج المطلوب.

ومع ذلك ، بدلاً من الوصول إلى موقع الويب الأصلي ، يقوم الرابط بإعادة توجيه الزوار إلى صفحات استضافة WordPress المخترقة. تم تصميم هذه الصفحات بمهارة لتقليد مظهر مواقع التنزيل الرسمية للتطبيق المحدد المعني.

ومع ذلك ، لا يتم نقل الجميع إلى مواقع الويب غير الآمنة. يتم إعادة توجيه الزوار من مناطق جغرافية محددة فقط بشكل انتقائي إلى مواقع التصيد الاحتيالي ، مما يضمن فرصة أكبر لجذب الضحايا المحتملين من المناطق المختارة. إذا حاول أي شخص الوصول إلى الصفحات عن طريق فتح الرابط الخاص به مباشرةً بدلاً من نقله إلى هناك من خلال إعلان ، فسيتم إعادة توجيهه إلى مقطع فيديو على YouTube لكلاسيكية Rick Astley "Never Gonna Give You Up" - وهي خطوة تُعرف باسم rick-rolling.

تم استخدام برنامج النيتروجين الضار على الأرجح لتسليم برامج الفدية إلى الأجهزة التي تم اختراقها

تأتي البرامج المهددة التي يتم تسليمها من المواقع المزيفة في شكل مثبتات ISO ذات طروادة تسمى "install.exe" والتي تحمل ملف DLL التالف "msi.dll" (NitrogenInstaller) ثم تقوم بتحميله جانبًا. يعمل كمثبت لبرامج النيتروجين الضارة. بالإضافة إلى ذلك ، تقوم أيضًا بإعداد التطبيق الموعود لتجنب إثارة أي شكوك من الضحايا. تُنشئ البرامج الضارة آلية استمرار من خلال إنشاء مفتاح تشغيل تسجيل "Python" يتم تشغيله بفاصل زمني مدته خمس دقائق ويشير إلى برنامج ثنائي ضار يسمى "pythonw.exe".

مكون Python من البرامج الضارة ، المسمى "python.311.dll" (NitrogenStager) ، يتولى مسؤولية إنشاء اتصال مع خادم الأوامر والتحكم (C2) الخاص بالمخترقين. كما أنه يبدأ قذيفة Meterpreter و Cobalt Strike Beacons على كمبيوتر الضحية.

في حالات معينة ، ينخرط المهاجمون في إجراءات عملية بمجرد تنفيذ البرنامج النصي Meterpreter على الأنظمة المستهدفة. يستخدمون أوامر يدوية لاسترداد ملفات ZIP إضافية وبيئات Python 3 ، والتي تعد ضرورية لتشغيل Cobalt Strike في الذاكرة ، لأن NitrogenStager نفسه لا يمكنه تنفيذ برامج Python النصية. تشير سلسلة الإصابة ببرامج النيتروجين الضارة إلى تنظيم الأجهزة المخترقة لنشر حمولات برامج الفدية النهائية.