بدافزار نیتروژن
محققان یک کمپین بدافزار دسترسی اولیه را کشف کردهاند که بهعنوان «نیتروژن» ردیابی میکنند. مجرمان سایبری از تبلیغات جستجوی گوگل و بینگ برای تبلیغ وب سایت های نرم افزاری تقلبی به عنوان راهی برای آلوده کردن قربانیان ناآگاه استفاده می کنند. کاربرانی که ناآگاهانه از این سایتها بازدید میکنند قربانی استقرار باجافزارهای تهدیدکننده Cobalt Strike و باجافزار میشوند.
هدف اصلی پشت بدافزار نیتروژن، دادن نقطه ورود اولیه به شبکه های شرکتی به عوامل تهدید است. پس از نفوذ، بازیگران مخرب توانایی انجام سرقت اطلاعات، مشارکت در جاسوسی سایبری و در نهایت باجافزار مخرب BlackCat/ALPHV را به دست میآورند.
تجزیه و تحلیل عمیق کمپین نیتروژن، اهداف اولیه آن را آشکار کرده است که عمدتاً شامل فناوری و سازمان های غیرانتفاعی واقع در آمریکای شمالی می شود. مهاجمان طرح خود را با جعل هویت ارائه دهندگان نرم افزار معتبر مانند AnyDesk، Cisco AnyConnect VPN، TreeSize Free و WinSCP اجرا می کنند. این تاکتیک فریبنده کاربران را فریب میدهد تا تصور کنند به نرمافزار اصلی دسترسی دارند، اما در عوض در معرض خطرات بدافزار نیتروژن قرار میگیرند.
استفاده از تبلیغات جستجوی گوگل و بینگ در این کمپین، لایه دیگری از پیچیدگی را اضافه میکند و عاملان تهدید را قادر میسازد تا به مجموعه گستردهتری از قربانیان بالقوه دست یابند. با استفاده از این موتورهای جستجوی محبوب، مهاجمان احتمال ترغیب کاربران را برای کلیک کردن بر روی پیوندهای نرمافزاری تقلبی افزایش میدهند و در نتیجه فرآیند آلودگی مخرب را آغاز میکنند.
بدافزار نیتروژن قربانیان را از مکان های جغرافیایی خاص هدف قرار می دهد
کمپین بدافزار نیتروژن زمانی شروع می شود که کاربران در گوگل یا بینگ برای برنامه های مختلف نرم افزاری معروف جستجو کنند. از جمله نرم افزارهایی که به عنوان طعمه در این کمپین استفاده می شود، می توان به AnyDesk (یک برنامه دسکتاپ از راه دور)، WinSCP (یک کلاینت SFTP/FTP برای ویندوز)، Cisco AnyConnect (یک مجموعه VPN) و TreeSize Free (یک ماشین حساب و مدیر فضای دیسک) اشاره کرد. انتخاب فریب های نرم افزاری بر اساس معیارهای هدف گیری مهاجمان است.
هنگامی که کاربر هر یک از این نرم افزارهای کاربردی را جستجو می کند، موتور جستجوی مربوطه تبلیغی را نمایش می دهد که به نظر می رسد محصول نرم افزاری دقیق را تبلیغ می کند. کاربران ممکن است ناخواسته بر روی این تبلیغات به ظاهر قانونی کلیک کنند و به امید دانلود نرم افزار مورد نظر خود اقدام کنند.
با این حال، این پیوند به جای رسیدن به وب سایت واقعی، بازدیدکنندگان را به صفحات میزبان وردپرس در معرض خطر هدایت می کند. این صفحات به طرز ماهرانه ای برای تقلید از ظاهر سایت های رسمی دانلود برای برنامه خاص مورد نظر طراحی شده اند.
با این حال، همه به وب سایت های ناامن منتقل نمی شوند. فقط بازدیدکنندگان از مناطق جغرافیایی خاص به طور انتخابی به سایتهای فیشینگ هدایت میشوند و شانس بیشتری برای جذب قربانیان بالقوه از مناطق انتخابی را تضمین میکنند. اگر کسی بخواهد مستقیماً پیوند خود را باز کند به جای اینکه از طریق تبلیغات به آنجا منتقل شود، به یک ویدیوی YouTube کلاسیک «Never Gonna Give You Up» ریک آستلی هدایت می شود - حرکتی که به عنوان ریک رولینگ شناخته می شود.
بدافزار نیتروژن احتمالاً برای ارسال باج افزار به دستگاه های در معرض خطر استفاده شده است
نرم افزار تهدیدکننده ارائه شده از سایت های جعلی به شکل نصب کننده های ISO تروجان شده به نام 'install.exe' ارائه می شود که یک فایل DLL خراب 'msi.dll' (NitrogenInstaller) را حمل و سپس بارگذاری می کند. به عنوان نصب کننده بدافزار نیتروژن عمل می کند. علاوه بر این، برنامه وعده داده شده را نیز برای جلوگیری از ایجاد هرگونه سوء ظن از جانب قربانیان راه اندازی می کند. این بدافزار با ایجاد یک کلید اجرای رجیستری «Python» که در فاصله زمانی پنج دقیقه اجرا میشود و به سمت یک باینری مخرب به نام «pythonw.exe» اشاره میکند، مکانیسم پایداری ایجاد میکند.
مؤلفه Python این بدافزار به نام «python.311.dll» (NitrogenStager) مسئولیت برقراری ارتباط با سرور فرمان و کنترل هکرها (C2) را بر عهده می گیرد. همچنین پوسته Meterpreter و Cobalt Strike Beacons را بر روی کامپیوتر قربانی راه اندازی می کند.
در موارد خاصی، مهاجمان پس از اجرای اسکریپت Meterpreter بر روی سیستم های هدف، دست به اقدامات عملی می زنند. آنها از دستورات دستی برای بازیابی فایلهای ZIP اضافی و محیطهای پایتون 3 استفاده میکنند که برای اجرای Cobalt Strike در حافظه ضروری است، زیرا NitrogenStager خود نمیتواند اسکریپتهای پایتون را اجرا کند. زنجیره آلودگی بدافزار Nitrogen به مرحلهبندی دستگاههای در معرض خطر برای استقرار بارهای باجافزار نهایی اشاره دارد.