មេរោគ Nitrogen
អ្នកស្រាវជ្រាវបានរកឃើញយុទ្ធនាការមេរោគចូលដំណើរការដំបូងដែលពួកគេកំពុងតាមដានថាជា 'អាសូត'។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបាននឹងកំពុងប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មស្វែងរករបស់ Google និង Bing ដើម្បីផ្សព្វផ្សាយគេហទំព័រកម្មវិធីក្លែងក្លាយជាមធ្យោបាយមួយដើម្បីឆ្លងដល់ជនរងគ្រោះដែលមិនមានការសង្ស័យ។ អ្នកប្រើដែលចូលមើលគេហទំព័រទាំងនេះដោយមិនដឹងខ្លួនធ្លាក់ខ្លួនជាជនរងគ្រោះចំពោះការដាក់ពង្រាយការគំរាមកំហែង Cobalt Strike និង ransomware payloads។
គោលបំណងស្នូលដែលនៅពីក្រោយមេរោគ Nitrogen malware គឺផ្តល់ឱ្យអ្នកគំរាមកំហែងនូវចំណុចចាប់ផ្តើមចូលទៅក្នុងបណ្តាញសាជីវកម្ម។ នៅពេលដែលត្រូវបានជ្រៀតចូល តួអង្គព្យាបាទទទួលបានសមត្ថភាពក្នុងការធ្វើសកម្មភាពលួចទិន្នន័យ ចូលរួមក្នុងចារកម្មតាមអ៊ីនធឺណិត ហើយទីបំផុតបញ្ចេញ BlackCat/ALPHV Ransomware ដែលបំផ្លិចបំផ្លាញ។
ការវិភាគស៊ីជម្រៅនៃយុទ្ធនាការអាសូតបានបង្ហាញពីគោលដៅចម្បងរបស់ខ្លួន ដែលភាគច្រើនគ្របដណ្តប់លើបច្ចេកវិទ្យា និងអង្គការមិនរកប្រាក់ចំណេញដែលមានទីតាំងនៅអាមេរិកខាងជើង។ អ្នកវាយប្រហារប្រតិបត្តិគ្រោងការណ៍របស់ពួកគេដោយការក្លែងបន្លំជាអ្នកផ្តល់កម្មវិធីល្បីឈ្មោះដូចជា AnyDesk, Cisco AnyConnect VPN, TreeSize Free និង WinSCP ។ យុទ្ធសាស្ត្របោកបញ្ឆោតនេះធ្វើឱ្យអ្នកប្រើប្រាស់ជឿថាពួកគេកំពុងចូលប្រើកម្មវិធីពិតប្រាកដ ដើម្បីឱ្យពួកគេប្រឈមមុខនឹងគ្រោះថ្នាក់នៃមេរោគ Nitrogen malware ជំនួសវិញ។
ការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មស្វែងរករបស់ Google និង Bing នៅក្នុងយុទ្ធនាការនេះបន្ថែមស្រទាប់បន្ថែមនៃភាពស្មុគ្រស្មាញ ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងឈានដល់ក្រុមដ៏ទូលំទូលាយនៃជនរងគ្រោះដែលអាចមានសក្តានុពល។ តាមរយៈការប្រើប្រាស់ម៉ាស៊ីនស្វែងរកដ៏ពេញនិយមទាំងនេះ អ្នកវាយប្រហារបង្កើនលទ្ធភាពនៃការទាក់ទាញអ្នកប្រើប្រាស់ឱ្យចុចលើតំណភ្ជាប់កម្មវិធីក្លែងបន្លំ ដូច្នេះចាប់ផ្តើមដំណើរការឆ្លងមេរោគ។
មេរោគ Nitrogen Malware កំណត់គោលដៅជនរងគ្រោះពីទីតាំងភូមិសាស្ត្រជាក់លាក់
យុទ្ធនាការ Nitrogen Malware ចាប់ផ្តើមនៅពេលដែលអ្នកប្រើប្រាស់ធ្វើការស្វែងរក Google ឬ Bing សម្រាប់កម្មវិធីកម្មវិធីល្បីៗផ្សេងៗ។ ក្នុងចំណោមកម្មវិធីដែលប្រើជានុយក្នុងយុទ្ធនាការនេះគឺ AnyDesk (កម្មវិធីកុំព្យូទ័រពីចម្ងាយ), WinSCP (កម្មវិធី SFTP/FTP សម្រាប់ Windows), Cisco AnyConnect (ឈុត VPN) និង TreeSize Free (ម៉ាស៊ីនគិតលេខទំហំថាស និងអ្នកគ្រប់គ្រង)។ ការជ្រើសរើសកម្មវិធីទាក់ទាញគឺផ្អែកលើលក្ខណៈវិនិច្ឆ័យកំណត់គោលដៅរបស់អ្នកវាយប្រហារ។
នៅពេលដែលអ្នកប្រើប្រាស់ស្វែងរកកម្មវិធីណាមួយនៃកម្មវិធីទាំងនេះ ម៉ាស៊ីនស្វែងរករៀងៗខ្លួនបង្ហាញការផ្សាយពាណិជ្ជកម្មដែលលេចឡើងដើម្បីផ្សព្វផ្សាយផលិតផលកម្មវិធីពិតប្រាកដ។ ដោយមិនដឹងខ្លួន អ្នកប្រើប្រាស់អាចចុចលើការផ្សាយពាណិជ្ជកម្មដែលហាក់ដូចជាស្របច្បាប់ទាំងនេះ ដោយសង្ឃឹមថានឹងទាញយកកម្មវិធីដែលចង់បាន។
ទោះយ៉ាងណាក៏ដោយ ជំនួសឱ្យការចូលទៅកាន់គេហទំព័រពិតប្រាកដ តំណភ្ជាប់បញ្ជូនអ្នកទស្សនាទៅកាន់ទំព័របង្ហោះ WordPress ដែលត្រូវបានសម្របសម្រួល។ ទំព័រទាំងនេះត្រូវបានរចនាឡើងយ៉ាងប៉ិនប្រសប់ដើម្បីធ្វើត្រាប់តាមរូបរាងនៃគេហទំព័រទាញយកផ្លូវការសម្រាប់កម្មវិធីជាក់លាក់នៅក្នុងសំណួរ។
ទោះយ៉ាងណាក៏ដោយ មិនមែនគ្រប់គ្នាត្រូវបានគេយកទៅគេហទំព័រដែលគ្មានសុវត្ថិភាពនោះទេ។ មានតែអ្នកទស្សនាពីតំបន់ភូមិសាស្រ្តជាក់លាក់ប៉ុណ្ណោះដែលត្រូវបានជ្រើសរើសប្តូរទិសដៅទៅកាន់គេហទំព័របន្លំ ដោយធានានូវឱកាសខ្ពស់ក្នុងការទាក់ទាញជនរងគ្រោះដែលមានសក្តានុពលពីតំបន់ដែលបានជ្រើសរើស។ ប្រសិនបើអ្នកណាម្នាក់ព្យាយាមចូលទៅកាន់ទំព័រនានាដោយបើកតំណរបស់ពួកគេដោយផ្ទាល់ ជំនួសឱ្យការនាំយកទៅទីនោះតាមរយៈការផ្សាយពាណិជ្ជកម្ម ពួកគេនឹងត្រូវបានបញ្ជូនបន្តទៅកាន់វីដេអូ YouTube នៃបទ 'Never Gonna Give You' របស់ Rick Astley ដែលជាចលនាដែលគេស្គាល់ថាជា rick-rolling ។
Nitrogen Malware ទំនងជាត្រូវបានប្រើដើម្បីបញ្ជូន Ransomware ទៅកាន់ឧបករណ៍ដែលរងការប៉ះពាល់
កម្មវិធីគម្រាមកំហែងដែលបានបញ្ជូនពីគេហទំព័រក្លែងក្លាយមកជាទម្រង់កម្មវិធីដំឡើងអាយអេសអូ trojanized ដែលមានឈ្មោះថា 'install.exe' ដែលផ្ទុកហើយបន្ទាប់មកផ្ទុកឯកសារ DLL ដែលខូច 'msi.dll' (NitrogenInstaller) ។ វាដើរតួជាអ្នកដំឡើងសម្រាប់ Nitrogen Malware ។ លើសពីនេះ វាក៏រៀបចំកម្មវិធីដែលបានសន្យាផងដែរ ដើម្បីកុំឱ្យមានការសង្ស័យពីជនរងគ្រោះ។ មេរោគបង្កើតយន្តការតស៊ូដោយបង្កើត 'Python' registry key run ដែលដំណើរការក្នុងចន្លោះពេលប្រាំនាទី ហើយចង្អុលទៅកាន់ binary ព្យាបាទដែលមានឈ្មោះថា 'pythonw.exe'។
សមាសធាតុ Python នៃមេរោគដែលហៅថា 'python.311.dll' (NitrogenStager) ទទួលបន្ទុកបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) របស់ពួក Hacker ។ វាក៏ចាប់ផ្តើមសែល Meterpreter និង Cobalt Strike Beacons នៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះផងដែរ។
ក្នុងករណីជាក់លាក់ អ្នកវាយប្រហារចូលរួមសកម្មភាពនៅលើដៃ នៅពេលដែលស្គ្រីប Meterpreter ត្រូវបានប្រតិបត្តិលើប្រព័ន្ធគោលដៅ។ ពួកគេប្រើពាក្យបញ្ជាដោយដៃដើម្បីទាញយកឯកសារ ZIP បន្ថែម និងបរិស្ថាន Python 3 ដែលចាំបាច់ដើម្បីដំណើរការ Cobalt Strike នៅក្នុងសតិ ដោយសារ NitrogenStager ខ្លួនវាមិនអាចប្រតិបត្តិស្គ្រីប Python បានទេ។ ខ្សែសង្វាក់នៃការឆ្លងមេរោគ Nitrogen malware ចង្អុលទៅការរៀបចំឧបករណ៍ដែលត្រូវបានសម្របសម្រួលសម្រាប់ការដាក់ពង្រាយ ransomware payloads ចុងក្រោយ។
