Nitrogen Malware

Изследователите са разкрили първоначална кампания за злонамерен софтуер за достъп, която проследяват като „Азот“. Киберпрестъпниците използват реклами за търсене на Google и Bing, за да популяризират уебсайтове с фалшив софтуер като начин за заразяване на нищо неподозиращи жертви. Потребителите, които посещават тези сайтове, несъзнателно стават жертва на внедряването на заплашителния Cobalt Strike и рансъмуер.

Основната цел зад злонамерения софтуер на Nitrogen е да предостави на участниците в заплахата първоначална входна точка в корпоративните мрежи. Веднъж инфилтрирани, злонамерените участници получават способността да извършват кражба на данни, да участват в кибершпионаж и в крайна сметка да отприщят разрушителния рансъмуер BlackCat/ALPHV .

Задълбочен анализ на кампанията Nitrogen разкри нейните основни цели, които обхващат предимно технологии и организации с нестопанска цел, разположени в Северна Америка. Нападателите изпълняват своята схема, като се представят за реномирани доставчици на софтуер като AnyDesk, Cisco AnyConnect VPN, TreeSize Free и WinSCP. Тази измамна тактика кара потребителите да вярват, че имат достъп до оригинален софтуер, само за да бъдат изложени на опасностите от злонамерения софтуер Nitrogen.

Използването на реклами за търсене на Google и Bing в тази кампания добавя допълнителен слой усъвършенстване, позволявайки на участниците в заплахата да достигнат до по-широк кръг от потенциални жертви. Използвайки тези популярни търсачки, нападателите увеличават вероятността да примамят потребителите да кликнат върху връзките на измамния софтуер, като по този начин инициират процеса на злонамерена инфекция.

Зловреден софтуер Nitrogen е насочен към жертви от конкретни географски местоположения

Кампанията за зловреден софтуер на Nitrogen започва, когато потребителите извършват търсене в Google или Bing за различни добре познати софтуерни приложения. Сред софтуера, използван като примамка в тази кампания, са AnyDesk (приложение за отдалечен работен плот), WinSCP (SFTP/FTP клиент за Windows), Cisco AnyConnect (пакет за VPN) и TreeSize Free (калкулатор и мениджър на дисково пространство). Изборът на софтуерни примамки се основава на критериите за насочване на нападателите.

Когато потребител търси някое от тези софтуерни приложения, съответната търсачка показва реклама, която изглежда популяризира точния софтуерен продукт. Без да искат, потребителите могат да кликнат върху тези привидно законни реклами, надявайки се да изтеглят желания софтуер.

Въпреки това, вместо да достигне до истинския уебсайт, връзката пренасочва посетителите към компрометирани хостинг страници на WordPress. Тези страници са умело проектирани да имитират външния вид на официалните сайтове за изтегляне на конкретното въпросно приложение.

Не всеки обаче попада на опасни уебсайтове. Само посетители от определени географски региони се пренасочват селективно към сайтовете за фишинг, което гарантира по-висок шанс за примамване на потенциални жертви от избраните области. Ако някой се опита да достигне до страниците чрез директно отваряне на връзката им, вместо да бъде отведен там чрез реклама, ще бъде пренасочен към видеоклип в YouTube на класиката на Рик Астли „Never Gonna Give You Up“ – движение, известно като rick-rolling.

Зловреден софтуер Nitrogen вероятно е бил използван за доставяне на рансъмуер до компрометирани устройства

Заплашителният софтуер, доставен от фалшивите сайтове, идва под формата на троянизирани ISO инсталатори, наречени „install.exe“, които пренасят и след това зареждат отстрани повреден DLL файл „msi.dll“ (NitrogenInstaller). Той действа като инсталатор за Nitrogen Malware. В допълнение, той също настройва обещаното приложение, за да избегне повдигането на подозрения от страна на жертвите. Злонамереният софтуер установява механизъм за устойчивост, като създава ключ за изпълнение на системния регистър „Python“, който се изпълнява на интервал от пет минути и насочва към злонамерен двоичен файл с име „pythonw.exe“.

Python компонентът на злонамерения софтуер, наречен „python.311.dll“ (NitrogenStager), поема отговорността за установяване на комуникация със сървъра за командване и управление (C2) на хакерите. Той също така инициира черупка Meterpreter и кобалтови ударни маяци на компютъра на жертвата.

В някои случаи нападателите се ангажират с практически действия, след като скриптът Meterpreter се изпълни на целевите системи. Те използват ръчни команди за извличане на допълнителни ZIP файлове и среди на Python 3, които са необходими за стартиране на Cobalt Strike в паметта, тъй като самият NitrogenStager не може да изпълнява скриптове на Python. Веригата на заразяване на злонамерения софтуер на Nitrogen сочи към поставяне на компрометираните устройства за внедряване на окончателни полезни натоварвания на ransomware.