Nitrogen-haittaohjelma

Tutkijat ovat paljastaneet ensimmäisen haittaohjelmakampanjan, jota he seuraavat nimellä "Typpi". Kyberrikolliset ovat käyttäneet Googlen ja Bingin hakumainoksia mainostaakseen väärennettyjen ohjelmistojen verkkosivustoja keinona tartuttaa pahaa aavistamattomia uhreja. Näillä sivustoilla vierailevat käyttäjät joutuvat tietämättään uhkaavien Cobalt Strike- ja kiristysohjelmien käyttöönoton uhreiksi.

Nitrogen-haittaohjelman ydintavoitteena on tarjota uhkatekijöille ensimmäinen sisääntulopiste yritysverkostoihin. Kun pahantahtoiset toimijat ovat soluttautuneet, he saavat mahdollisuuden toteuttaa tietovarkauksia, ryhtyä verkkovakoiluun ja lopulta vapauttaa tuhoisan BlackCat/ALPHV Ransomwaren .

Nitrogen-kampanjan syvällinen analyysi on paljastanut sen ensisijaiset tavoitteet, jotka kattavat pääasiassa teknologian ja Pohjois-Amerikassa sijaitsevat voittoa tavoittelemattomat organisaatiot. Hyökkääjät toteuttavat suunnitelmansa esiintymällä maineikkaina ohjelmistotoimittajina, kuten AnyDesk, Cisco AnyConnect VPN, TreeSize Free ja WinSCP. Tämä petollinen taktiikka huijaa käyttäjät uskomaan, että he käyttävät aitoja ohjelmistoja, mutta sen sijaan altistuvat Nitrogen-haittaohjelman vaaroille.

Googlen ja Bingin hakumainosten käyttö tässä kampanjassa lisää hienostuneisuutta, jolloin uhkatoimijat voivat tavoittaa laajemman joukon mahdollisia uhreja. Hyödyntämällä näitä suosittuja hakukoneita, hyökkääjät lisäävät todennäköisyyttä houkutella käyttäjiä napsauttamaan vilpillisten ohjelmistojen linkkejä, mikä käynnistää haitallisen tartuntaprosessin.

Typpihaittaohjelma kohdistaa uhreihin tietyistä maantieteellisistä paikoista

Nitrogen Malware -kampanja käynnistyy, kun käyttäjät tekevät Google- tai Bing-haun useilla tunnetuilla ohjelmistosovelluksilla. Tässä kampanjassa syöttinä käytettyjä ohjelmistoja ovat AnyDesk (etätyöpöytäsovellus), WinSCP (SFTP/FTP-asiakas Windowsille), Cisco AnyConnect (VPN-paketti) ja TreeSize Free (levytilan laskin ja hallinta). Ohjelmistouistimien valinta perustuu hyökkääjien kohdistuskriteereihin.

Kun käyttäjä hakee jotakin näistä ohjelmistosovelluksista, vastaava hakukone näyttää mainoksen, joka näyttää mainostavan juuri kyseistä ohjelmistotuotetta. Käyttäjät voivat tahattomasti napsauttaa näitä laillisilta vaikuttavia mainoksia toivoen voivansa ladata haluamasi ohjelmiston.

Aidolle verkkosivustolle pääsyn sijaan linkki ohjaa vierailijat vaarantuneille WordPress-isännöintisivuille. Nämä sivut on suunniteltu taitavasti jäljittelemään kyseisen sovelluksen virallisten lataussivustojen ulkoasua.

Kaikkia ei kuitenkaan viedä turvattomille verkkosivustoille. Vain tietyiltä maantieteellisiltä alueilta tulevat vierailijat ohjataan valikoivasti tietojenkalastelusivustoille, mikä varmistaa suuremman mahdollisuuden houkutella mahdollisia uhreja valituilta alueilta. Jos joku yrittää päästä sivuille suoraan avaamalla linkkinsä sen sijaan, että hänet ohjattaisiin sinne mainoksen kautta, hänet ohjataan YouTube-videolle, joka sisältää Rick Astleyn klassikon "Never Gonna Give You Up" – liike, joka tunnetaan nimellä rick-rolling.

Nitrogen-haittaohjelmaa käytettiin todennäköisesti kiristyshaittaohjelmien toimittamiseen vaarantuneisiin laitteisiin

Väärennetyiltä sivustoilta toimitetut uhkaavat ohjelmistot tulevat troijalaisina ISO-asennusohjelmina nimeltä "install.exe", jotka kuljettavat ja lataavat sitten vioittuneen DLL-tiedoston "msi.dll" (NitrogenInstaller). Se toimii Nitrogen-haittaohjelmien asennusohjelmana. Lisäksi se myös perustaa luvatun sovelluksen välttääkseen epäilyt uhreilta. Haittaohjelma luo pysyvyysmekanismin luomalla Python-rekisterin suoritusavaimen, joka suoritetaan viiden minuutin välein ja osoittaa haitalliseen binaariin nimeltä "pythonw.exe".

Haittaohjelman Python-komponentti, nimeltään "python.311.dll" (NitrogenStager), vastaa yhteyden muodostamisesta hakkereiden komento- ja ohjauspalvelimeen (C2). Se käynnistää myös Meterpreter- kuoren ja Cobalt Strike Beaconsin uhrin tietokoneeseen.

Tietyissä tapauksissa hyökkääjät ryhtyvät käytännön toimiin, kun Meterpreter-komentosarja on suoritettu kohdejärjestelmissä. He käyttävät manuaalisia komentoja hakeakseen lisää ZIP-tiedostoja ja Python 3 -ympäristöjä, joita tarvitaan Cobalt Striken suorittamiseen muistissa, koska NitrogenStager itse ei voi suorittaa Python-skriptejä. Nitrogen-haittaohjelmien tartuntaketju viittaa vaarantuneiden laitteiden asettamiseen lopullisten ransomware-hyötykuormien käyttöönottamiseksi.