질소 악성코드

연구원들이 '질소'로 추적하는 초기 액세스 악성코드 캠페인을 발견했습니다. 사이버 범죄자들은 순진한 피해자를 감염시키는 방법으로 위조 소프트웨어 웹사이트를 홍보하기 위해 Google 및 Bing 검색 광고를 활용해 왔습니다. 이러한 사이트를 방문하는 사용자는 자신도 모르게 위협적인 Cobalt Strike 및 랜섬웨어 페이로드 배포의 희생양이 됩니다.

Nitrogen 악성코드의 핵심 목표는 위협 행위자에게 기업 네트워크에 대한 초기 진입점을 부여하는 것입니다. 일단 침투하면 악의적인 행위자는 데이터 절도를 수행하고 사이버 스파이 활동에 참여하여 궁극적으로 파괴적인 BlackCat/ALPHV 랜섬웨어를 방출할 수 있는 능력을 얻습니다.

Nitrogen 캠페인에 대한 심층 분석을 통해 주로 북미에 위치한 기술 및 비영리 조직을 포함하는 주요 목표가 밝혀졌습니다. 공격자는 AnyDesk, Cisco AnyConnect VPN, TreeSize Free 및 WinSCP와 같은 평판이 좋은 소프트웨어 공급자를 사칭하여 계획을 실행합니다. 이 기만적인 수법은 사용자가 정품 소프트웨어에 액세스하고 있다고 믿게 하여 Nitrogen 맬웨어의 위험에 노출되게 합니다.

이 캠페인에서 Google 및 Bing 검색 광고를 사용하면 정교함이 추가되어 위협 행위자가 더 광범위한 잠재적 피해자 풀에 도달할 수 있습니다. 이러한 인기 있는 검색 엔진을 활용함으로써 공격자는 사용자가 사기성 소프트웨어 링크를 클릭하도록 유인하여 악의적인 감염 프로세스를 시작할 가능성을 높입니다.

Nitrogen 맬웨어는 특정 지리적 위치의 피해자를 대상으로 합니다.

Nitrogen Malware 캠페인은 사용자가 Google 또는 Bing에서 잘 알려진 다양한 소프트웨어 애플리케이션을 검색할 때 시작됩니다. 이 캠페인에서 미끼로 사용된 소프트웨어 중에는 AnyDesk(원격 데스크톱 애플리케이션), WinSCP(Windows용 SFTP/FTP 클라이언트), Cisco AnyConnect(VPN 제품군) 및 TreeSize Free(디스크 공간 계산기 및 관리자)가 있습니다. 소프트웨어 미끼의 선택은 공격자의 표적 기준을 기반으로 합니다.

사용자가 이러한 소프트웨어 응용 프로그램을 검색하면 해당 검색 엔진이 정확한 소프트웨어 제품을 홍보하는 광고를 표시합니다. 사용자는 자신도 모르게 원하는 소프트웨어를 다운로드하기를 바라며 합법적인 것처럼 보이는 광고를 클릭할 수 있습니다.

그러나 링크는 정품 웹사이트에 도달하는 대신 방문자를 손상된 WordPress 호스팅 페이지로 리디렉션합니다. 이 페이지는 문제의 특정 응용 프로그램에 대한 공식 다운로드 사이트의 모양을 모방하도록 능숙하게 설계되었습니다.

그러나 모든 사람이 안전하지 않은 웹사이트로 이동하는 것은 아닙니다. 특정 지역의 방문자만 선택적으로 피싱 사이트로 리디렉션되므로 선택한 지역에서 잠재적인 피해자를 유인할 가능성이 높아집니다. 누군가 광고를 통해 이동하는 대신 링크를 직접 열어 페이지에 도달하려고 하면 Rick Astley의 고전인 'Never Gonna Give You Up'의 YouTube 동영상으로 리디렉션됩니다. 이는 릭롤링으로 알려진 동작입니다.

Nitrogen 멀웨어는 손상된 장치에 랜섬웨어를 전달하는 데 사용되었을 가능성이 높습니다.

가짜 사이트에서 전달되는 위협적인 소프트웨어는 손상된 DLL 파일 'msi.dll'(NitrogenInstaller)을 운반하고 사이드로드하는 'install.exe'라는 트로이목마화된 ISO 설치 프로그램의 형태로 제공됩니다. Nitrogen Malware의 설치 프로그램 역할을 합니다. 또한 약속한 애플리케이션도 설정해 피해자로부터 의심을 받지 않도록 한다. 맬웨어는 5분 간격으로 실행되고 'pythonw.exe'라는 악성 바이너리를 가리키는 'Python' 레지스트리 실행 키를 생성하여 지속성 메커니즘을 설정합니다.

악성코드의 Python 구성 요소인 'python.311.dll'(NitrogenStager)은 해커의 명령 및 제어 서버(C2)와의 통신 설정을 담당합니다. 또한 피해자의 컴퓨터에서 Meterpreter 쉘과 Cobalt Strike Beacons를 시작합니다.

특정 인스턴스에서 공격자는 Meterpreter 스크립트가 대상 시스템에서 실행되면 실제 작업에 참여합니다. NitrogenStager 자체는 Python 스크립트를 실행할 수 없기 때문에 메모리에서 Cobalt Strike를 실행하는 데 필요한 추가 ZIP 파일 및 Python 3 환경을 검색하기 위해 수동 명령을 사용합니다. Nitrogen 맬웨어의 감염 체인은 최종 랜섬웨어 페이로드 배포를 위해 손상된 장치를 준비하는 것을 가리킵니다.