Azoto kenkėjiška programa

Tyrėjai atskleidė pradinę prieigos prie kenkėjiškų programų kampaniją, kurią jie stebi kaip „azotą“. Kibernetiniai nusikaltėliai naudojo „Google“ ir „Bing“ paieškos skelbimus, kad reklamuotų suklastotos programinės įrangos svetaines, kad užkrėstų nieko neįtariančias aukas. Vartotojai, kurie lankosi šiose svetainėse, nesąmoningai tampa grėsmingo „Cobalt Strike“ ir „ransomware“ naudingųjų apkrovų aukomis.

Pagrindinis azoto kenkėjiškų programų tikslas yra suteikti grėsmės veikėjams pradinį įėjimo tašką į įmonių tinklus. Įsiskverbę kenkėjiški veikėjai įgyja galimybę pavogti duomenis, įsitraukti į kibernetinį šnipinėjimą ir galiausiai paleisti destruktyvią BlackCat/ALPHV Ransomware .

Išsami azoto kampanijos analizė atskleidė jos pagrindinius tikslus, kurie daugiausia apima Šiaurės Amerikoje įsikūrusias technologijas ir ne pelno organizacijas. Užpuolikai vykdo savo schemą apsimetinėdami patikimais programinės įrangos tiekėjais, tokiais kaip „AnyDesk“, „Cisco AnyConnect VPN“, „TreeSize Free“ ir „WinSCP“. Ši apgaulinga taktika priverčia vartotojus manyti, kad jie naudojasi autentiška programine įranga, o tik susiduria su azoto kenkėjiškų programų pavojais.

„Google“ ir „Bing“ paieškos skelbimų naudojimas šioje kampanijoje suteikia papildomo sudėtingumo, todėl grėsmės veikėjai gali pasiekti didesnį potencialių aukų ratą. Naudodami šias populiarias paieškos sistemas, užpuolikai padidina tikimybę, kad vartotojai suvilios vartotojus spustelėti apgaulingos programinės įrangos nuorodas, taip inicijuodami kenkėjiško užkrėtimo procesą.

Azoto kenkėjiška programa yra skirta aukoms iš konkrečių geografinių vietovių

Azoto kenkėjiškų programų kampanija prasideda, kai vartotojai atlieka „Google“ ar „Bing“ paiešką, ieškodami įvairių gerai žinomų programinės įrangos programų. Tarp programinės įrangos, naudojamos kaip masalas šioje kampanijoje, yra „AnyDesk“ (nuotolinio darbalaukio programa), „WinSCP“ (SFTP/FTP klientas, skirtas „Windows“, „Cisco AnyConnect“ (VPN rinkinys) ir „TreeSize Free“ (laisvos vietos diske skaičiuotuvas ir tvarkyklė). Programinės įrangos masalai pasirenkami pagal užpuolikų taikymo kriterijus.

Kai vartotojas ieško bet kurios iš šių programinės įrangos taikomųjų programų, atitinkama paieškos sistema rodo skelbimą, kuris reklamuoja būtent tą programinės įrangos produktą. Vartotojai nesąmoningai gali spustelėti šiuos iš pažiūros teisėtus skelbimus, tikėdamiesi atsisiųsti norimą programinę įrangą.

Tačiau užuot pasiekusi tikrą svetainę, nuoroda nukreipia lankytojus į pažeistus „WordPress“ prieglobos puslapius. Šie puslapiai yra sumaniai sukurti taip, kad imituotų oficialių konkrečios programos atsisiuntimo svetainių išvaizdą.

Tačiau ne visi patenka į nesaugias svetaines. Tik lankytojai iš konkrečių geografinių regionų yra pasirinktinai nukreipiami į sukčiavimo svetaines, taip užtikrinant didesnę galimybę privilioti potencialias aukas iš pasirinktų vietovių. Jei kas nors bandytų pasiekti puslapius tiesiogiai atidarydamas savo nuorodą, o ne per skelbimą, jis būtų nukreiptas į „YouTube“ vaizdo įrašą, kuriame rodomas klasikinis Ricko Astley filmas „Niekada tavęs nepasiduos“ – veiksmas, žinomas kaip gudravimas.

Tikėtina, kad azoto kenkėjiška programa buvo naudojama išpirkos reikalaujančioms programoms pristatyti į pažeistus įrenginius

Grėsmę kelianti programinė įranga, tiekiama iš netikrų svetainių, pateikiama kaip trojanizuotos ISO diegimo programos, pavadintos „install.exe“, kurios neša ir įkelia sugadintą DLL failą „msi.dll“ („NitrogenInstaller“). Jis veikia kaip azoto kenkėjiškų programų diegimo programa. Be to, ji taip pat nustato žadėtą programą, kad aukoms nekiltų įtarimų. Kenkėjiška programa sukuria išlikimo mechanizmą sukurdama „Python“ registro paleidimo raktą, kuris veikia kas penkias minutes ir nukreipia į kenksmingą dvejetainį failą, pavadintą „pythonw.exe“.

Kenkėjiškos programos Python komponentas, vadinamas python.311.dll (NitrogenStager), atsakingas už ryšio su įsilaužėlių komandų ir valdymo serveriu (C2) užmezgimą. Tai taip pat inicijuoja Meterpreter apvalkalą ir Cobalt Strike Beacons aukos kompiuteryje.

Tam tikrais atvejais užpuolikai imasi praktinių veiksmų, kai tikslinėse sistemose vykdomas Meterpreter scenarijus. Jie naudoja rankines komandas, kad gautų papildomus ZIP failus ir Python 3 aplinkas, kurios yra būtinos norint paleisti Cobalt Strike atmintyje, nes pati NitrogenStager negali vykdyti Python scenarijų. Azoto kenkėjiškų programų užkrėtimo grandinė rodo, kad pažeisti įrenginiai suskirstomi į galutinį išpirkos reikalaujančių programų naudingumą.