Nitrogen Malware
A kutatók feltártak egy kezdeti rosszindulatú programokkal kapcsolatos kampányt, amelyet nitrogénként követnek nyomon. A kiberbűnözők a Google és a Bing keresési hirdetéseit használták fel hamisított szoftverek webhelyeinek népszerűsítésére, hogy megfertőzzék a gyanútlan áldozatokat. Azok a felhasználók, akik felkeresik ezeket az oldalakat, tudtukon kívül esnek áldozatul a fenyegető Cobalt Strike és ransomware rakományok bevetésének.
A Nitrogen malware mögött meghúzódó alapvető cél az, hogy a fenyegetés szereplőinek első belépési pontot biztosítson a vállalati hálózatokba. A beszivárgás után a rosszindulatú szereplők képesek lesznek adatlopásra, kiberkémkedésre, és végül szabadjára engedni a pusztító BlackCat/ALPHV Ransomware-t .
A Nitrogén kampány mélyreható elemzése feltárta elsődleges célpontjait, amelyek túlnyomórészt az észak-amerikai technológiát és non-profit szervezeteket foglalják magukban. A támadók úgy hajtják végre a rendszerüket, hogy olyan jó hírű szoftverszolgáltatókat adnak ki, mint az AnyDesk, a Cisco AnyConnect VPN, a TreeSize Free és a WinSCP. Ez a megtévesztő taktika elhiteti a felhasználókkal, hogy valódi szoftverhez férnek hozzá, hogy ehelyett ki legyenek téve a Nitrogen malware veszélyeinek.
A Google és a Bing keresési hirdetéseinek használata ebben a kampányban további kifinomultságot biztosít, lehetővé téve a fenyegetés szereplői számára, hogy a potenciális áldozatok szélesebb körét érjék el. E népszerű keresőmotorok kihasználásával a támadók megnövelik annak valószínűségét, hogy a felhasználókat a csaló szoftverhivatkozásokra csábítsák, ezzel elindítva a rosszindulatú fertőzési folyamatot.
A nitrogén malware meghatározott földrajzi helyekről érkező áldozatokat célozza meg
A Nitrogen Malware kampány akkor kezdődik, amikor a felhasználók különféle jól ismert szoftveralkalmazásokra keresnek a Google-ban vagy a Bingben. A kampányban csaliként használt szoftverek között szerepel az AnyDesk (távoli asztali alkalmazás), a WinSCP (SFTP/FTP kliens Windowshoz), a Cisco AnyConnect (VPN csomag) és a TreeSize Free (lemezterület-számítógép és -kezelő). A szoftveres csalik kiválasztása a támadók célzási kritériumai alapján történik.
Amikor a felhasználó ezeknek a szoftveralkalmazásoknak a bármelyikére keres, a megfelelő keresőmotor egy hirdetést jelenít meg, amely úgy tűnik, hogy a konkrét szoftverterméket reklámozza. A felhasználók akaratlanul is rákattinthatnak ezekre a jogosnak tűnő hirdetésekre, abban a reményben, hogy letölthetik a kívánt szoftvert.
Ahelyett azonban, hogy az eredeti webhelyet érné el, a link átirányítja a látogatókat a feltört WordPress tárhelyoldalakra. Ezeket az oldalakat ügyesen úgy tervezték, hogy utánozzák a kérdéses alkalmazás hivatalos letöltési oldalainak megjelenését.
Nem mindenki kerül azonban nem biztonságos webhelyekre. Csak bizonyos földrajzi régiók látogatóit irányítják át szelektíven az adathalász oldalakra, így nagyobb eséllyel csábítanak potenciális áldozatokat a kiválasztott területekről. Ha valaki úgy próbálja elérni az oldalakat, hogy közvetlenül megnyitja a linkjét, ahelyett, hogy egy hirdetésen keresztül vinné oda, akkor átirányítaná egy YouTube-videóra, amely Rick Astley klasszikus „Never Gonna Give You Up” című művét mutatja be.
Valószínűleg a nitrogén malware-t használták arra, hogy zsarolóvírust szállítsanak a kompromittált eszközökre
A hamis webhelyekről szállított fenyegető szoftver „install.exe” nevű trójai ISO-telepítők formájában érkezik, amelyek egy sérült „msi.dll” DLL-fájlt (NitrogenInstaller) hordoznak, majd oldalra töltenek be. A Nitrogen Malware telepítőjeként működik. Emellett beállítja a beígért alkalmazást is, hogy elkerülje a gyanúsításokat az áldozatokban. A rosszindulatú program úgy alakítja ki a perzisztencia mechanizmusát, hogy létrehoz egy „Python” beállításjegyzék-futtatási kulcsot, amely ötperces időközönként lefut, és egy „pythonw.exe” nevű rosszindulatú bináris fájlra mutat.
A rosszindulatú program Python-komponense, a „python.311.dll” (NitrogenStager) felelős a kommunikáció létrehozásáért a hackerek Command-and-Control szerverével (C2). Ezenkívül elindítja a Meterpreter shell és a Cobalt Strike Beacons megjelenését az áldozat számítógépén.
Bizonyos esetekben a támadók gyakorlati műveleteket hajtanak végre, miután a Meterpreter szkriptet végrehajtották a megcélzott rendszereken. Kézi parancsokat használnak további ZIP fájlok és Python 3 környezetek lekérésére, amelyek szükségesek a Cobalt Strike memóriában való futtatásához, mivel a NitrogenStager maga nem tud Python szkripteket végrehajtani. A Nitrogen malware fertőzési lánca arra mutat, hogy a kompromittált eszközöket a végső ransomware rakományok telepítéséhez állítja be.
