Lämmastiku pahavara

Teadlased on avastanud esialgse juurdepääsu pahavara kampaania, mida nad jälgivad kui lämmastikku. Küberkurjategijad on kasutanud Google'i ja Bingi otsingureklaame, et reklaamida võltsitud tarkvara veebisaite, et nakatada pahaaimamatuid ohvreid. Kasutajad, kes neid saite külastavad, langevad teadmatult ähvardava Cobalt Strike'i ja lunavara kasulike koormuste ohvriks.

Lämmastiku pahavara põhieesmärk on anda ohus osalejatele esialgne sisenemispunkt ettevõtte võrkudesse. Pärast sissetungimist saavad pahatahtlikud osalejad võimaluse sooritada andmete vargusi, tegeleda küberspionaažiga ja lõpuks vabastada hävitav BlackCat/ALPHV Ransomware .

Lämmastikukampaania põhjalik analüüs on paljastanud selle peamised eesmärgid, mis hõlmavad peamiselt Põhja-Ameerikas asuvaid tehnoloogia- ja mittetulundusorganisatsioone. Ründajad täidavad oma skeemi, kehastades selliseid mainekaid tarkvarapakkujaid nagu AnyDesk, Cisco AnyConnect VPN, TreeSize Free ja WinSCP. See petlik taktika sunnib kasutajaid uskuma, et nad pääsevad juurde ehtsale tarkvarale, et selle asemel sattuda lämmastiku pahavara ohtudele.

Google'i ja Bingi otsingureklaamide kasutamine selles kampaanias lisab täiendavat keerukust, võimaldades ohus osalejatel jõuda suurema hulga potentsiaalsete ohvriteni. Neid populaarseid otsingumootoreid kasutades suurendavad ründajad tõenäosust, et nad meelitavad kasutajaid petturliku tarkvara linkidele klõpsama, käivitades seeläbi pahatahtliku nakatumise.

Lämmastiku pahavara sihib ohvreid kindlatest geograafilistest asukohtadest

Lämmastiku pahavara kampaania algab siis, kui kasutajad otsivad Google'is või Bingis erinevaid tuntud tarkvararakendusi. Selles kampaanias söödana kasutatud tarkvara hulka kuuluvad AnyDesk (kaugtöölaua rakendus), WinSCP (Windowsi SFTP/FTP-klient), Cisco AnyConnect (VPN-komplekt) ja TreeSize Free (kettaruumi kalkulaator ja haldur). Tarkvarapeibutiste valik põhineb ründajate sihtimise kriteeriumidel.

Kui kasutaja otsib mõnda neist tarkvararakendustest, kuvab vastav otsingumootor reklaami, mis näib reklaamivat täpselt seda tarkvara. Tahtmatult võivad kasutajad klõpsata nendel näiliselt õigustatud reklaamidel, lootes soovitud tarkvara alla laadida.

Kuid selle asemel, et jõuda ehtsale veebisaidile, suunab link külastajad ohustatud WordPressi hostimislehtedele. Need lehed on oskuslikult kavandatud jäljendama konkreetse rakenduse ametlike allalaadimissaitide välimust.

Siiski ei viida kõiki ebaturvalistele veebisaitidele. Andmepüügisaitidele suunatakse valikuliselt ainult teatud geograafilistest piirkondadest pärit külastajad, tagades suurema võimaluse potentsiaalsete ohvrite meelitamiseks valitud piirkondadest. Kui keegi üritab lehtedele jõuda, avades otse oma lingi, selle asemel, et teda sinna reklaami kaudu suunata, suunatakse ta YouTube'i videole Rick Astley klassikalisest teosest "Never Gonna Give You Up" – seda liigutust tuntakse rick-rollingina.

Lämmastiku pahavara kasutati tõenäoliselt lunavara ohustatud seadmetesse toimetamiseks

Võltsitud saitidelt tarnitav ähvardav tarkvara on saadaval troojastatud ISO-installerina nimega "install.exe", mis kannavad ja laadivad seejärel külgsuunas rikutud DLL-faili "msi.dll" (NitrogenInstaller). See toimib lämmastiku pahavara installijana. Lisaks seadistab see ka lubatud rakenduse, et vältida ohvrite kahtluste tekitamist. Pahavara loob püsivusmehhanismi, luues Pythoni registri käitamisvõtme, mis töötab viieminutilise intervalliga ja osutab pahatahtlikule binaarfailile nimega 'pythonw.exe'.

Pahavara Pythoni komponent nimega 'python.311.dll' (NitrogenStager) vastutab side loomise eest häkkerite käsu- ja juhtimisserveriga (C2). Samuti käivitab see ohvri arvutis Meterpreteri kesta ja Cobalt Strike Beaconsi.

Teatud juhtudel teevad ründajad praktilisi toiminguid, kui Meterpreteri skript on sihitud süsteemides käivitatud. Nad kasutavad käsitsi käske, et hankida täiendavaid ZIP-faile ja Python 3 keskkondi, mis on vajalikud Cobalt Strike'i mälus käitamiseks, kuna NitrogenStager ise ei saa Pythoni skripte käivitada. Lämmastiku pahavara nakatumisahel viitab ohustatud seadmete lavastamisele lõplike lunavara kasulike koormuste juurutamiseks.