Slāpekļa ļaunprātīga programmatūra

Pētnieki ir atklājuši sākotnējo piekļuves ļaunprātīgas programmatūras kampaņu, ko viņi izseko kā "slāpekli". Kibernoziedznieki ir izmantojuši Google un Bing meklēšanas reklāmas, lai reklamētu viltotas programmatūras vietnes, lai inficētu nenojaušos upurus. Lietotāji, kuri apmeklē šīs vietnes, neapzināti kļūst par upuriem draudošā Cobalt Strike un ransomware lietderīgās slodzes izvietošanai.

Slāpekļa ļaunprogrammatūras galvenais mērķis ir nodrošināt apdraudējuma dalībniekiem sākotnējo ieejas punktu korporatīvajos tīklos. Kad tie ir iefiltrēti, ļaunprātīgie dalībnieki iegūst iespēju veikt datu zādzību, iesaistīties kiberspiegošanā un galu galā atbrīvot destruktīvo BlackCat/ALPHV Ransomware .

Slāpekļa kampaņas padziļinātā analīze atklāja tās galvenos mērķus, kas galvenokārt ietver tehnoloģiju un bezpeļņas organizācijas, kas atrodas Ziemeļamerikā. Uzbrucēji īsteno savu shēmu, uzdodoties par tādiem cienījamiem programmatūras nodrošinātājiem kā AnyDesk, Cisco AnyConnect VPN, TreeSize Free un WinSCP. Šī maldinošā taktika liek lietotājiem domāt, ka viņi piekļūst oriģinālai programmatūrai, lai tā vietā tiktu pakļauti slāpekļa ļaunprātīgas programmatūras briesmām.

Google un Bing meklēšanas reklāmu izmantošana šajā kampaņā piešķir papildu izsmalcinātību, ļaujot apdraudējuma dalībniekiem sasniegt plašāku potenciālo upuru loku. Izmantojot šīs populārās meklētājprogrammas, uzbrucēji palielina iespējamību, ka lietotāji pievilinās noklikšķināt uz krāpnieciskās programmatūras saitēm, tādējādi uzsākot ļaunprātīgas inficēšanās procesu.

Slāpekļa ļaunprātīga programmatūra ir vērsta uz upuriem no noteiktām ģeogrāfiskām vietām

Kampaņa Nitrogen Malware sākas, kad lietotāji Google vai Bing meklē dažādas labi zināmas programmatūras lietojumprogrammas. Programmatūra, kas šajā kampaņā tiek izmantota kā ēsma, ir AnyDesk (attālās darbvirsmas lietojumprogramma), WinSCP (SFTP/FTP klients operētājsistēmai Windows), Cisco AnyConnect (VPN komplekts) un TreeSize Free (diska vietas kalkulators un pārvaldnieks). Programmatūras vilinājumu izvēle tiek veikta, pamatojoties uz uzbrucēju mērķauditorijas atlases kritērijiem.

Kad lietotājs meklē kādu no šīm lietojumprogrammām, attiecīgā meklētājprogramma parāda reklāmu, kas, šķiet, reklamē tieši konkrēto programmatūras produktu. Neviļus lietotāji var noklikšķināt uz šīm šķietami likumīgajām reklāmām, cerot lejupielādēt vajadzīgo programmatūru.

Tomēr tā vietā, lai sasniegtu īsto vietni, saite novirza apmeklētājus uz apdraudētām WordPress mitināšanas lapām. Šīs lapas ir prasmīgi izstrādātas, lai atdarinātu oficiālo lejupielādes vietņu izskatu konkrētajai lietojumprogrammai.

Tomēr ne visi tiek novirzīti uz nedrošām vietnēm. Uz pikšķerēšanas vietnēm tiek selektīvi novirzīti tikai apmeklētāji no konkrētiem ģeogrāfiskiem reģioniem, nodrošinot lielāku iespēju izvilināt potenciālos upurus no izvēlētajiem apgabaliem. Ja kāds mēģina sasniegt lapas, tieši atverot savu saiti, nevis tiek novirzīts tur, izmantojot reklāmu, viņš tiks novirzīts uz YouTube videoklipu ar Rika Astlija klasisko filmu “Never Gonna Give You Up” — šo darbību sauc par ķemmēšanu.

Slāpekļa ļaunprātīga programmatūra, iespējams, tika izmantota, lai piegādātu izspiedējvīrusu uz apdraudētām ierīcēm

Draudošā programmatūra, kas tiek piegādāta no viltotām vietnēm, ir trojānizētu ISO instalēšanas programmu veidā ar nosaukumu "install.exe", kas pārnēsā un pēc tam ielādē bojātu DLL failu "msi.dll" (NitrogenInstaller). Tas darbojas kā slāpekļa ļaunprātīgas programmatūras instalētājs. Turklāt tā arī uzstāda solīto aplikāciju, lai neradītu cietušajiem jebkādas aizdomas. Ļaunprātīga programmatūra izveido noturības mehānismu, izveidojot Python reģistra palaišanas atslēgu, kas darbojas ar piecu minūšu intervālu un norāda uz ļaunprātīgu bināro failu ar nosaukumu "pythonw.exe".

Ļaunprātīgās programmatūras Python komponents, ko sauc par "python.311.dll" (NitrogenStager), uzņemas atbildību par saziņas izveidi ar hakeru Command-and-Control serveri (C2). Tas arī iniciē Meterpreter apvalku un Cobalt Strike Beacons upura datorā.

Dažos gadījumos uzbrucēji veic praktiskas darbības, tiklīdz mērķa sistēmās tiek izpildīts Meterpreter skripts. Viņi izmanto manuālas komandas, lai izgūtu papildu ZIP failus un Python 3 vides, kas ir nepieciešamas Cobalt Strike palaišanai atmiņā, jo NitrogenStager pati nevar izpildīt Python skriptus. Slāpekļa ļaunprātīgas programmatūras inficēšanās ķēde norāda uz apdraudēto ierīču inscenēšanu, lai izvietotu galīgās izspiedējvīrusu programmas.