Nitrogen Malware

Forskere har afsløret en indledende adgang malware-kampagne, som de sporer som 'nitrogen.' Cyberkriminelle har brugt Google og Bing-søgeannoncer til at promovere forfalskede softwarewebsteder som en måde at inficere intetanende ofre. Brugere, der besøger disse websteder, bliver ubevidst ofre for implementeringen af den truende Cobalt Strike og ransomware-nyttelast.

Kerneformålet bag Nitrogen-malwaren er at give trusselsaktører en indledende indgang til virksomhedens netværk. Når de er infiltreret, får de ondsindede aktører evnen til at udføre datatyveri, engagere sig i cyberspionage og i sidste ende frigive den destruktive BlackCat/ALPHV Ransomware .

En dybdegående analyse af Nitrogen-kampagnen har afsløret dens primære mål, som overvejende omfatter teknologi og non-profit-organisationer beliggende i Nordamerika. Angriberne udfører deres plan ved at efterligne velrenommerede softwareudbydere som AnyDesk, Cisco AnyConnect VPN, TreeSize Free og WinSCP. Denne vildledende taktik narrer brugerne til at tro, at de får adgang til ægte software, for i stedet at blive udsat for farerne ved Nitrogen-malwaren.

Brugen af Google og Bing-søgeannoncer i denne kampagne tilføjer et ekstra lag af sofistikering, der gør det muligt for trusselsaktører at nå ud til en bredere pulje af potentielle ofre. Ved at udnytte disse populære søgemaskiner øger angriberne sandsynligheden for at lokke brugere til at klikke på de svigagtige softwarelinks og dermed initiere den ondsindede infektionsproces.

Nitrogen-malwaren er rettet mod ofre fra specifikke geografiske steder

Nitrogen Malware-kampagnen starter, når brugere foretager en Google- eller Bing-søgning efter forskellige velkendte softwareapplikationer. Blandt softwaren, der bruges som lokkemad i denne kampagne, er AnyDesk (en fjernskrivebordsapplikation), WinSCP (en SFTP/FTP-klient til Windows), Cisco AnyConnect (en VPN-pakke) og TreeSize Free (en diskpladsberegner og -manager). Udvælgelsen af software lokker er baseret på angribernes målretningskriterier.

Når en bruger søger efter nogen af disse softwareapplikationer, viser den respektive søgemaskine en annonce, der ser ud til at promovere det nøjagtige softwareprodukt. Ubevidst kan brugere klikke på disse tilsyneladende legitime annoncer i håb om at downloade den ønskede software.

Men i stedet for at nå det ægte websted, omdirigerer linket besøgende til kompromitterede WordPress-hostingsider. Disse sider er dygtigt designet til at efterligne udseendet af de officielle downloadsider for den specifikke applikation.

Det er dog ikke alle, der bliver ført til usikre hjemmesider. Kun besøgende fra specifikke geografiske områder omdirigeres selektivt til phishing-webstederne, hvilket sikrer en større chance for at lokke potentielle ofre fra de valgte områder. Hvis nogen forsøger at nå siderne ved direkte at åbne deres link i stedet for at blive ført dertil gennem en annonce, vil de blive omdirigeret til en YouTube-video af Rick Astleys klassiker 'Never Gonna Give You Up' – et træk kendt som rick-rolling.

Nitrogen-malwaren blev sandsynligvis brugt til at levere ransomware til kompromitterede enheder

Den truende software leveret fra de falske websteder kommer i form af trojaniserede ISO-installatører ved navn 'install.exe', der bærer og derefter sideindlæser en beskadiget DLL-fil 'msi.dll' (NitrogenInstaller). Det fungerer som installationsprogrammet for Nitrogen Malware. Derudover sætter den også den lovede applikation op for at undgå at rejse mistanke fra ofrene. Malwaren etablerer en persistensmekanisme ved at skabe en 'Python'-registreringsnøgle, der kører med et interval på fem minutter og peger mod en ondsindet binær ved navn 'pythonw.exe.'

Python-komponenten af malwaren, kaldet 'python.311.dll' (NitrogenStager), tager ansvaret for at etablere kommunikation med hackernes Command-and-Control-server (C2). Det initierer også en Meterpreter- skal og Cobalt Strike Beacons på ofrets computer.

I visse tilfælde engagerer angriberne sig i praktiske handlinger, når Meterpreter-scriptet er eksekveret på de målrettede systemer. De bruger manuelle kommandoer til at hente yderligere ZIP-filer og Python 3-miljøer, som er nødvendige for at køre Cobalt Strike i hukommelsen, da NitrogenStager ikke selv kan udføre Python-scripts. Infektionskæden af Nitrogen-malware peger på at iscenesætte de kompromitterede enheder til implementering af endelige ransomware-nyttelaster.