नाइट्रोजन मालवेयर
शोधकर्ताहरूले प्रारम्भिक पहुँच मालवेयर अभियान पत्ता लगाएका छन् जुन उनीहरूले 'नाइट्रोजन' को रूपमा ट्र्याक गरिरहेका छन्। साइबर अपराधीहरूले नक्कली सफ्टवेयर वेबसाइटहरू प्रवर्द्धन गर्न गुगल र बिंग खोज विज्ञापनहरू प्रयोग गर्दै आएका छन् जसलाई शंका नगर्ने पीडितहरूलाई संक्रमित गर्ने तरिका हो। यी साइटहरू भ्रमण गर्ने प्रयोगकर्ताहरू अनजानमा कोबाल्ट स्ट्राइक र ransomware पेलोडहरूको प्रयोगको शिकार हुन्छन्।
नाइट्रोजन मालवेयर पछाडिको मुख्य उद्देश्य भनेको धम्की दिने कलाकारहरूलाई कर्पोरेट नेटवर्कहरूमा प्रारम्भिक प्रविष्टि बिन्दु प्रदान गर्नु हो। एक पटक घुसपैठ गरिसकेपछि, दुर्भावनापूर्ण अभिनेताहरूले डाटा चोरी गर्न, साइबर जासूसीमा संलग्न हुने र अन्ततः विनाशकारी BlackCat/ALPHV Ransomware निकाल्ने क्षमता प्राप्त गर्छन्।
नाइट्रोजन अभियानको गहिरो विश्लेषणले यसको प्राथमिक लक्ष्यहरू प्रकट गरेको छ, जसले मुख्य रूपमा उत्तर अमेरिकामा अवस्थित प्रविधि र गैर-लाभकारी संस्थाहरूलाई समेट्छ। आक्रमणकारीहरूले AnyDesk, Cisco AnyConnect VPN, TreeSize Free र WinSCP जस्ता प्रतिष्ठित सफ्टवेयर प्रदायकहरूको प्रतिरूपण गरेर तिनीहरूको योजना कार्यान्वयन गर्छन्। यो भ्रामक युक्तिले प्रयोगकर्ताहरूलाई उनीहरूले वास्तविक सफ्टवेयर पहुँच गर्दै छन् भन्ने विश्वासमा धोका दिन्छ, यसको सट्टा नाइट्रोजन मालवेयरको खतरामा पर्नको लागि।
यस अभियानमा Google र Bing खोज विज्ञापनहरूको प्रयोगले परिष्कारको थप तह थप्छ, जसले खतरा कर्ताहरूलाई सम्भावित पीडितहरूको फराकिलो पूलमा पुग्न सक्षम बनाउँछ। यी लोकप्रिय खोज इन्जिनहरू प्रयोग गरेर, आक्रमणकारीहरूले प्रयोगकर्ताहरूलाई धोखाधडी सफ्टवेयर लिङ्कहरूमा क्लिक गर्न लोभ्याउने सम्भावना बढाउँछन्, यसरी दुर्भावनापूर्ण संक्रमण प्रक्रिया सुरु गर्छन्।
नाइट्रोजन मालवेयरले विशिष्ट भौगोलिक स्थानहरूबाट पीडितहरूलाई लक्षित गर्दछ
नाइट्रोजन मालवेयर अभियान सुरु हुन्छ जब प्रयोगकर्ताहरूले विभिन्न ज्ञात सफ्टवेयर अनुप्रयोगहरूको लागि Google वा Bing खोज सञ्चालन गर्छन्। यस अभियानमा प्रलोभनको रूपमा प्रयोग गरिएका सफ्टवेयरहरू मध्ये AnyDesk (एक रिमोट डेस्कटप अनुप्रयोग), WinSCP (विन्डोजको लागि एक SFTP/FTP क्लाइन्ट), Cisco AnyConnect (एक VPN सुइट) र TreeSize Free (एक डिस्क-स्पेस क्यालकुलेटर र प्रबन्धक) छन्। सफ्टवेयर लुर्सको छनोट आक्रमणकारीहरूको लक्षित मापदण्डमा आधारित छ।
जब प्रयोगकर्ताले यी सफ्टवेयर अनुप्रयोगहरू मध्ये कुनै पनि खोजी गर्दछ, सम्बन्धित खोज इन्जिनले विज्ञापन प्रदर्शन गर्दछ जुन सही सफ्टवेयर उत्पादनको प्रचार गर्न देखिन्छ। अनजानमा, प्रयोगकर्ताहरूले इच्छित सफ्टवेयर डाउनलोड गर्ने आशामा यी प्रतीत हुने वैध विज्ञापनहरूमा क्लिक गर्न सक्छन्।
यद्यपि, वास्तविक वेबसाइटमा पुग्नुको सट्टा, लिङ्कले आगन्तुकहरूलाई सम्झौता गरिएको WordPress होस्टिङ पृष्ठहरूमा पुन: निर्देशित गर्दछ। यी पृष्ठहरू प्रश्नमा विशिष्ट अनुप्रयोगको लागि आधिकारिक डाउनलोड साइटहरूको उपस्थितिको नक्कल गर्न कुशलतापूर्वक डिजाइन गरिएका छन्।
यद्यपि, सबैलाई असुरक्षित वेबसाइटहरूमा लगिएको छैन। विशेष भौगोलिक क्षेत्रका आगन्तुकहरूलाई मात्र फिसिङ साइटहरूमा चयन गरी रिडिरेक्ट गरिन्छ, छनोट गरिएका क्षेत्रहरूबाट सम्भावित पीडितहरूलाई लोभ्याउने उच्च मौका सुनिश्चित गर्दै। यदि कसैले विज्ञापनको माध्यमबाट त्यहाँ लैजानुको सट्टा सीधै तिनीहरूको लिङ्क खोलेर पृष्ठहरूमा पुग्न प्रयास गर्छ भने, उनीहरूलाई रिक एस्टलीको क्लासिक 'नेभर गन्ना गिभ यु अप' को YouTube भिडियोमा रिडिरेक्ट गरिनेछ - यो चाललाई रिक-रोलिङ भनिन्छ।
नाइट्रोजन मालवेयर सम्भवतः सम्झौता गरिएका उपकरणहरूमा Ransomware डेलिभर गर्न प्रयोग गरिएको थियो
नक्कली साइटहरूबाट डेलिभर गरिएको धम्की दिने सफ्टवेयर 'install.exe' नामक ट्रोजनाइज्ड आईएसओ स्थापनाकर्ताहरूको रूपमा आउँछ जसले भ्रष्ट DLL फाइल 'msi.dll' (NitrogenInstaller) बोक्छ र साइडलोड गर्छ। यसले नाइट्रोजन मालवेयरको लागि स्थापनाकर्ताको रूपमा कार्य गर्दछ। थप रूपमा, यसले पीडितहरूबाट कुनै पनि शंका उठाउनबाट बच्न प्रतिज्ञा गरिएको अनुप्रयोग पनि सेट अप गर्दछ। मालवेयरले पाँच मिनेटको अन्तरालमा चल्ने 'पाइथन' रजिस्ट्री रन कुञ्जी सिर्जना गरेर 'pythonw.exe' नामक मालिसियस बाइनरी तर्फ पोइन्ट गरेर निरन्तरता संयन्त्र स्थापना गर्दछ।
मालवेयरको पाइथन कम्पोनेन्ट, 'python.311.dll' (NitrogenStager) भनिन्छ, जसले ह्याकरहरूको कमाण्ड-एण्ड-कन्ट्रोल सर्भर (C2) सँग सञ्चार स्थापना गर्ने जिम्मा लिन्छ। यसले पीडितको कम्प्युटरमा मिटरप्रिटर खोल र कोबाल्ट स्ट्राइक बीकनहरू पनि सुरु गर्छ।
केहि उदाहरणहरूमा, लक्षित प्रणालीहरूमा मिटरप्रिटर लिपि कार्यान्वयन भएपछि आक्रमणकारीहरूले ह्यान्ड-अन कार्यहरूमा संलग्न हुन्छन्। तिनीहरूले अतिरिक्त ZIP फाइलहरू र पाइथन 3 वातावरणहरू पुन: प्राप्त गर्न म्यानुअल आदेशहरू प्रयोग गर्छन्, जुन मेमोरीमा कोबाल्ट स्ट्राइक चलाउन आवश्यक हुन्छ, किनकि नाइट्रोजनस्टेजर आफैले पाइथन स्क्रिप्टहरू कार्यान्वयन गर्न सक्दैन। नाइट्रोजन मालवेयरको संक्रमण शृङ्खलाले अन्तिम ransomware पेलोडहरूको तैनातीका लागि सम्झौता गरिएका यन्त्रहरूलाई स्टेज गर्न संकेत गर्दछ।
