Hasad Nitrogen

Penyelidik telah menemui kempen perisian hasad akses awal yang mereka jejaki sebagai 'Nitrogen.' Penjenayah siber telah menggunakan iklan carian Google dan Bing untuk mempromosikan tapak web perisian palsu sebagai cara untuk menjangkiti mangsa yang tidak curiga. Pengguna yang melawati tapak ini tanpa disedari menjadi mangsa penggunaan Cobalt Strike dan muatan perisian tebusan yang mengancam.

Objektif teras di sebalik perisian hasad Nitrogen adalah untuk memberikan pelaku ancaman titik masuk awal ke rangkaian korporat. Sebaik sahaja disusupi, pelakon yang berniat jahat mendapat keupayaan untuk menjalankan kecurian data, melibatkan diri dalam pengintipan siber, dan akhirnya melepaskan BlackCat/ALPHV Ransomware yang merosakkan.

Analisis mendalam tentang kempen Nitrogen telah mendedahkan sasaran utamanya, yang kebanyakannya merangkumi organisasi teknologi dan bukan untung yang terletak di Amerika Utara. Penyerang melaksanakan skim mereka dengan menyamar sebagai penyedia perisian bereputasi seperti AnyDesk, Cisco AnyConnect VPN, TreeSize Free dan WinSCP. Taktik menipu ini memperdayakan pengguna untuk mempercayai mereka mengakses perisian tulen, tetapi sebaliknya terdedah kepada bahaya malware Nitrogen.

Penggunaan iklan carian Google dan Bing dalam kempen ini menambahkan lapisan kecanggihan tambahan, membolehkan pelaku ancaman menjangkau kumpulan bakal mangsa yang lebih luas. Dengan memanfaatkan enjin carian popular ini, penyerang meningkatkan kemungkinan menarik pengguna untuk mengklik pada pautan perisian penipuan, sekali gus memulakan proses jangkitan berniat jahat.

Perisian Hasad Nitrogen Menyasarkan Mangsa dari Lokasi Geografi Tertentu

Kempen Nitrogen Malware bermula apabila pengguna menjalankan carian Google atau Bing untuk pelbagai aplikasi perisian yang terkenal. Antara perisian yang digunakan sebagai umpan dalam kempen ini ialah AnyDesk (aplikasi desktop jauh), WinSCP (pelanggan SFTP/FTP untuk Windows), Cisco AnyConnect (suite VPN) dan TreeSize Free (kalkulator dan pengurus ruang cakera). Pemilihan gewang perisian adalah berdasarkan kriteria sasaran penyerang.

Apabila pengguna mencari mana-mana aplikasi perisian ini, enjin carian masing-masing memaparkan iklan yang kelihatan mempromosikan produk perisian yang tepat. Tanpa disedari, pengguna boleh mengklik pada iklan yang kelihatan sah ini, dengan harapan dapat memuat turun perisian yang dikehendaki.

Walau bagaimanapun, daripada mencapai tapak web tulen, pautan itu mengubah hala pelawat ke halaman pengehosan WordPress yang terjejas. Halaman ini direka bentuk dengan mahir untuk meniru penampilan tapak muat turun rasmi untuk aplikasi khusus yang dipersoalkan.

Walau bagaimanapun, tidak semua orang dibawa ke laman web yang tidak selamat. Hanya pelawat dari kawasan geografi tertentu diubah hala secara terpilih ke tapak pancingan data, memastikan peluang yang lebih tinggi untuk memikat bakal mangsa dari kawasan yang dipilih. Jika sesiapa cuba menjangkau halaman tersebut dengan terus membuka pautan mereka dan bukannya dibawa ke sana melalui iklan, mereka akan dialihkan ke video YouTube 'Never Gonna Give You Up' klasik Rick Astley – satu langkah yang dikenali sebagai rick-rolling.

Perisian Hasad Nitrogen Berkemungkinan Digunakan untuk Menghantar Ransomware kepada Peranti Yang Dikompromi

Perisian mengancam yang dihantar dari tapak palsu datang dalam bentuk pemasang ISO trojan bernama 'install.exe' yang membawa dan kemudian memuatkan fail DLL yang rosak 'msi.dll' (NitrogenInstaller). Ia bertindak sebagai pemasang untuk Nitrogen Malware. Selain itu, ia juga menyediakan permohonan yang dijanjikan bagi mengelak menimbulkan sebarang syak wasangka daripada mangsa. Malware mewujudkan mekanisme kegigihan dengan mencipta kunci jalankan pendaftaran 'Python' yang berjalan pada selang lima minit dan menghala ke arah binari berniat jahat bernama 'pythonw.exe.'

Komponen Python bagi perisian hasad, yang dipanggil 'python.311.dll' (NitrogenStager), bertanggungjawab mewujudkan komunikasi dengan pelayan Perintah-dan-Kawalan (C2) penggodam. Ia juga memulakan shell Meterpreter dan Cobalt Strike Beacons pada komputer mangsa.

Dalam keadaan tertentu, penyerang terlibat dalam tindakan langsung setelah skrip Meterpreter dilaksanakan pada sistem yang disasarkan. Mereka menggunakan arahan manual untuk mendapatkan fail ZIP tambahan dan persekitaran Python 3, yang diperlukan untuk menjalankan Cobalt Strike dalam ingatan, kerana NitrogenStager itu sendiri tidak boleh melaksanakan skrip Python. Rantaian jangkitan perisian hasad Nitrogen menunjukkan kepada pementasan peranti yang terjejas untuk penggunaan muatan perisian tebusan akhir.