Zlonamjerni softver Nitrogen

Istraživači su otkrili početnu kampanju zlonamjernog softvera za pristup koju prate kao 'Nitrogen'. Kibernetički kriminalci koriste Google i Bing oglase za pretraživanje za promoviranje web stranica s krivotvorenim softverom kao način da zaraze žrtve koje ništa ne sumnjaju. Korisnici koji posjećuju ove stranice nesvjesno postaju žrtve postavljanja prijetećeg Cobalt Strikea i ransomwarea.

Temeljni cilj zlonamjernog softvera Nitrogen je omogućiti akterima prijetnji početnu ulaznu točku u korporativne mreže. Nakon što se infiltriraju, zlonamjerni akteri dobivaju mogućnost krađe podataka, sudjelovanja u kibernetičkoj špijunaži i na kraju oslobađaju destruktivni BlackCat/ALPHV Ransomware .

Dubinska analiza kampanje Nitrogen otkrila je njezine primarne ciljeve, koji uglavnom obuhvaćaju tehnološke i neprofitne organizacije smještene u Sjevernoj Americi. Napadači provode svoju shemu lažno predstavljajući renomirane pružatelje softvera kao što su AnyDesk, Cisco AnyConnect VPN, TreeSize Free i WinSCP. Ova prijevarna taktika navodi korisnike da povjeruju da pristupaju originalnom softveru, samo da bi umjesto toga bili izloženi opasnostima zlonamjernog softvera Nitrogen.

Korištenje Google i Bing oglasa za pretraživanje u ovoj kampanji dodaje dodatni sloj sofisticiranosti, omogućujući akterima prijetnje da dopru do većeg broja potencijalnih žrtava. Korištenjem ovih popularnih tražilica, napadači povećavaju vjerojatnost navođenja korisnika da kliknu na poveznice lažnog softvera, čime pokreću proces zlonamjerne infekcije.

Zlonamjerni softver Nitrogen cilja žrtve s određenih geografskih lokacija

Kampanja zlonamjernog softvera Nitrogen počinje kada korisnici izvrše pretragu na Googleu ili Bingu za razne dobro poznate softverske aplikacije. Među softverom koji se koristi kao mamac u ovoj kampanji su AnyDesk (aplikacija za udaljenu radnu površinu), WinSCP (SFTP/FTP klijent za Windows), Cisco AnyConnect (VPN paket) i TreeSize Free (kalkulator i upravitelj prostora na disku). Odabir softverskih mamaca temelji se na kriterijima ciljanja napadača.

Kada korisnik pretražuje bilo koju od ovih softverskih aplikacija, odgovarajuća tražilica prikazuje oglas koji promiče točan softverski proizvod. Nesvjesno, korisnici mogu kliknuti na ove naizgled legitimne oglase, nadajući se da će preuzeti željeni softver.

Međutim, umjesto da dođe do originalne web stranice, poveznica preusmjerava posjetitelje na ugrožene WordPress stranice za hosting. Ove su stranice vješto dizajnirane tako da oponašaju izgled službenih stranica za preuzimanje za određenu aplikaciju o kojoj je riječ.

Međutim, ne posjećuju svi nesigurna web-mjesta. Samo se posjetitelji iz određenih geografskih regija selektivno preusmjeravaju na stranice za krađu identiteta, čime se osigurava veća mogućnost namamljivanja potencijalnih žrtava iz odabranih područja. Ako bilo tko pokuša doći do stranica izravnim otvaranjem njihove veze umjesto da ga tamo odvede putem oglasa, bit će preusmjeren na YouTube video klasika Ricka Astleyja 'Never Gonna Give You Up' – potez poznat kao rick-rolling.

Zlonamjerni softver Nitrogen vjerojatno je korišten za isporuku ransomwarea kompromitiranim uređajima

Prijeteći softver isporučen s lažnih stranica dolazi u obliku trojaniziranih ISO instalacijskih programa pod nazivom 'install.exe' koji prenose i potom učitavaju oštećenu DLL datoteku 'msi.dll' (NitrogenInstaller). Djeluje kao instalacijski program za Nitrogen Malware. Osim toga, također postavlja obećanu aplikaciju kako bi se izbjegle bilo kakve sumnje kod žrtava. Zlonamjerni softver uspostavlja mehanizam postojanosti stvaranjem 'Python' ključa za pokretanje registra koji se pokreće u intervalu od pet minuta i usmjerava prema zlonamjernom binarnom fajlu pod nazivom 'pythonw.exe'.

Python komponenta zlonamjernog softvera, nazvana 'python.311.dll' (NitrogenStager), preuzima odgovornost za uspostavljanje komunikacije s hakerskim Command-and-Control serverom (C2). Također pokreće Meterpreter shell i Cobalt Strike Beacons na žrtvinom računalu.

U određenim slučajevima, napadači se uključuju u praktične radnje nakon što se Meterpreter skripta izvrši na ciljanim sustavima. Oni koriste ručne naredbe za dohvaćanje dodatnih ZIP datoteka i Python 3 okruženja, koja su neophodna za pokretanje Cobalt Strikea u memoriji, jer sam NitrogenStager ne može izvršavati Python skripte. Lanac zaraze zlonamjernim softverom Nitrogen ukazuje na postavljanje kompromitiranih uređaja za postavljanje konačnog sadržaja ransomwarea.