Κακόβουλο λογισμικό αζώτου

Οι ερευνητές ανακάλυψαν μια εκστρατεία αρχικής πρόσβασης κακόβουλου λογισμικού που παρακολουθούν ως «Άζωτο». Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις διαφημίσεις αναζήτησης Google και Bing για την προώθηση ιστοσελίδων πλαστών λογισμικού ως τρόπο μόλυνσης ανυποψίαστων θυμάτων. Οι χρήστες που επισκέπτονται αυτούς τους ιστότοπους εν αγνοία τους πέφτουν θύματα της ανάπτυξης των απειλητικών φορτίων Cobalt Strike και ransomware.

Ο βασικός στόχος πίσω από το κακόβουλο λογισμικό Nitrogen είναι να παραχωρήσει στους φορείς απειλών ένα αρχικό σημείο εισόδου στα εταιρικά δίκτυα. Μόλις διεισδύσουν, οι κακόβουλοι ηθοποιοί αποκτούν τη δυνατότητα να πραγματοποιούν κλοπή δεδομένων, να συμμετέχουν σε κυβερνοκατασκοπεία και τελικά να απελευθερώνουν το καταστροφικό BlackCat/ALPHV Ransomware .

Μια εις βάθος ανάλυση της εκστρατείας Nitrogen αποκάλυψε τους πρωταρχικούς της στόχους, οι οποίοι καλύπτουν κατά κύριο λόγο τεχνολογικούς και μη κερδοσκοπικούς οργανισμούς που βρίσκονται στη Βόρεια Αμερική. Οι εισβολείς εκτελούν το σχήμα τους υποδυόμενοι αξιόπιστους παρόχους λογισμικού όπως AnyDesk, Cisco AnyConnect VPN, TreeSize Free και WinSCP. Αυτή η παραπλανητική τακτική εξαπατά τους χρήστες να πιστεύουν ότι έχουν πρόσβαση σε γνήσιο λογισμικό, για να εκτεθούν αντ 'αυτού στους κινδύνους του κακόβουλου λογισμικού Nitrogen.

Η χρήση των διαφημίσεων αναζήτησης Google και Bing σε αυτήν την καμπάνια προσθέτει ένα επιπλέον επίπεδο πολυπλοκότητας, επιτρέποντας στους παράγοντες της απειλής να προσεγγίσουν μια ευρύτερη ομάδα πιθανών θυμάτων. Αξιοποιώντας αυτές τις δημοφιλείς μηχανές αναζήτησης, οι εισβολείς αυξάνουν την πιθανότητα να δελεάσουν τους χρήστες να κάνουν κλικ στους δόλιους συνδέσμους λογισμικού, ξεκινώντας έτσι τη διαδικασία κακόβουλης μόλυνσης.

Το κακόβουλο λογισμικό αζώτου στοχεύει θύματα από συγκεκριμένες γεωγραφικές τοποθεσίες

Η καμπάνια Nitrogen Malware ξεκινά όταν οι χρήστες πραγματοποιούν αναζήτηση στο Google ή στο Bing για διάφορες γνωστές εφαρμογές λογισμικού. Μεταξύ του λογισμικού που χρησιμοποιείται ως δόλωμα σε αυτήν την καμπάνια είναι το AnyDesk (μια εφαρμογή απομακρυσμένης επιφάνειας εργασίας), το WinSCP (ένας πελάτης SFTP/FTP για Windows), το Cisco AnyConnect (μια σουίτα VPN) και το TreeSize Free (αριθμομηχανή και διαχειριστής χώρου στο δίσκο). Η επιλογή των δολωμάτων λογισμικού βασίζεται στα κριτήρια στόχευσης των επιτιθέμενων.

Όταν ένας χρήστης αναζητά οποιαδήποτε από αυτές τις εφαρμογές λογισμικού, η αντίστοιχη μηχανή αναζήτησης εμφανίζει μια διαφήμιση που φαίνεται να προωθεί το ακριβές προϊόν λογισμικού. Άθελά τους, οι χρήστες μπορούν να κάνουν κλικ σε αυτές τις φαινομενικά νόμιμες διαφημίσεις, ελπίζοντας να κατεβάσουν το επιθυμητό λογισμικό.

Ωστόσο, αντί να φτάσει στον αυθεντικό ιστότοπο, ο σύνδεσμος ανακατευθύνει τους επισκέπτες σε παραβιασμένες σελίδες φιλοξενίας WordPress. Αυτές οι σελίδες έχουν σχεδιαστεί επιδέξια για να μιμούνται την εμφάνιση των επίσημων τοποθεσιών λήψης για τη συγκεκριμένη εφαρμογή.

Ωστόσο, δεν οδηγούνται όλοι σε μη ασφαλείς ιστότοπους. Μόνο επισκέπτες από συγκεκριμένες γεωγραφικές περιοχές ανακατευθύνονται επιλεκτικά στις τοποθεσίες phishing, διασφαλίζοντας μεγαλύτερη πιθανότητα δελεασμού πιθανών θυμάτων από τις επιλεγμένες περιοχές. Αν κάποιος προσπαθήσει να φτάσει στις σελίδες ανοίγοντας απευθείας τον σύνδεσμό του αντί να μεταφερθεί εκεί μέσω μιας διαφήμισης, θα ανακατευθυνθεί σε ένα βίντεο YouTube του κλασικού "Never Gonna Give You Up" του Rick Astley - μια κίνηση γνωστή ως rick-rolling.

Το κακόβουλο λογισμικό Nitrogen πιθανότατα χρησιμοποιήθηκε για την παράδοση Ransomware σε παραβιασμένες συσκευές

Το απειλητικό λογισμικό που παραδίδεται από τους ψεύτικους ιστότοπους έρχεται με τη μορφή trojanized προγραμμάτων εγκατάστασης ISO με το όνομα "install.exe" που μεταφέρουν και στη συνέχεια φορτώνουν ένα κατεστραμμένο αρχείο DLL "msi.dll" (NitrogenInstaller). Λειτουργεί ως πρόγραμμα εγκατάστασης για κακόβουλο λογισμικό Nitrogen. Επιπλέον, δημιουργεί επίσης την υποσχεθείσα εφαρμογή για να αποφύγει την πρόκληση υποψιών από τα θύματα. Το κακόβουλο λογισμικό δημιουργεί έναν μηχανισμό επιμονής δημιουργώντας ένα κλειδί εκτέλεσης μητρώου «Python» που εκτελείται σε διάστημα πέντε λεπτών και οδηγεί σε ένα κακόβουλο δυαδικό αρχείο με το όνομα «pythonw.exe».

Το στοιχείο Python του κακόβουλου λογισμικού, που ονομάζεται «python.311.dll» (NitrogenStager), αναλαμβάνει την αποκατάσταση της επικοινωνίας με τον διακομιστή Command-and-Control (C2) των χάκερ. Εκκινεί επίσης ένα κέλυφος Meterpreter και Cobalt Strike Beacons στον υπολογιστή του θύματος.

Σε ορισμένες περιπτώσεις, οι εισβολείς συμμετέχουν σε πρακτικές ενέργειες μόλις εκτελεστεί το σενάριο Meterpreter στα στοχευμένα συστήματα. Χρησιμοποιούν μη αυτόματες εντολές για να ανακτήσουν πρόσθετα αρχεία ZIP και περιβάλλοντα Python 3, τα οποία είναι απαραίτητα για την εκτέλεση του Cobalt Strike στη μνήμη, καθώς το ίδιο το NitrogenStager δεν μπορεί να εκτελέσει σενάρια Python. Η αλυσίδα μόλυνσης του κακόβουλου λογισμικού Nitrogen υποδηλώνει τη σταδιοποίηση των παραβιασμένων συσκευών για την ανάπτυξη των τελικών ωφέλιμων φορτίων ransomware.