Stikstof malware

Onderzoekers hebben een malwarecampagne voor eerste toegang ontdekt die ze volgen als 'stikstof'. Cybercriminelen hebben Google- en Bing-zoekadvertenties gebruikt om namaaksoftwarewebsites te promoten als een manier om nietsvermoedende slachtoffers te infecteren. Gebruikers die deze sites bezoeken, worden onbewust het slachtoffer van de inzet van de dreigende Cobalt Strike en ransomware-payloads.

Het kerndoel achter de Nitrogen-malware is om bedreigingsactoren een eerste toegangspunt tot bedrijfsnetwerken te bieden. Eenmaal geïnfiltreerd, krijgen de kwaadwillende actoren de mogelijkheid om gegevens te stelen, zich in te laten met cyberspionage en uiteindelijk de destructieve BlackCat/ALPHV Ransomware te ontketenen.

Een grondige analyse van de stikstofcampagne heeft de primaire doelen onthuld, die voornamelijk technologie en non-profitorganisaties in Noord-Amerika omvatten. De aanvallers voeren hun plan uit door zich voor te doen als gerenommeerde softwareleveranciers zoals AnyDesk, Cisco AnyConnect VPN, TreeSize Free en WinSCP. Deze misleidende tactiek laat gebruikers geloven dat ze toegang hebben tot legitieme software, maar in plaats daarvan worden ze blootgesteld aan de gevaren van de Nitrogen-malware.

Het gebruik van zoekadvertenties van Google en Bing in deze campagne voegt een extra laag verfijning toe, waardoor de aanvallers een bredere pool van potentiële slachtoffers kunnen bereiken. Door gebruik te maken van deze populaire zoekmachines vergroten de aanvallers de kans om gebruikers te verleiden om op de frauduleuze softwarelinks te klikken, en zo het kwaadaardige infectieproces op gang te brengen.

De Nitrogen-malware richt zich op slachtoffers van specifieke geografische locaties

De Nitrogen Malware-campagne start wanneer gebruikers een Google- of Bing-zoekopdracht uitvoeren voor verschillende bekende softwaretoepassingen. Onder de software die als aas in deze campagne wordt gebruikt, bevinden zich AnyDesk (een externe desktoptoepassing), WinSCP (een SFTP/FTP-client voor Windows), Cisco AnyConnect (een VPN-suite) en TreeSize Free (een schijfruimtecalculator en -beheerder). De selectie van softwarelokaas is gebaseerd op de targetingcriteria van de aanvallers.

Wanneer een gebruiker naar een van deze softwaretoepassingen zoekt, geeft de betreffende zoekmachine een advertentie weer die het exacte softwareproduct lijkt te promoten. Ongewild kunnen gebruikers op deze ogenschijnlijk legitieme advertenties klikken, in de hoop de gewenste software te downloaden.

In plaats van de echte website te bereiken, leidt de link bezoekers echter om naar gecompromitteerde WordPress-hostingpagina's. Deze pagina's zijn vakkundig ontworpen om het uiterlijk van de officiële downloadsites voor de specifieke toepassing in kwestie na te bootsen.

Niet iedereen wordt echter naar onveilige websites geleid. Alleen bezoekers uit specifieke geografische regio's worden selectief omgeleid naar de phishing-sites, waardoor de kans groter is dat potentiële slachtoffers uit de gekozen gebieden worden gelokt. Als iemand de pagina's probeert te bereiken door direct zijn link te openen in plaats van daarheen te worden geleid via een advertentie, worden ze doorgestuurd naar een YouTube-video van Rick Astley's klassieker 'Never Gonna Give You Up' - een beweging die bekend staat als rick-rolling.

De Nitrogen-malware werd waarschijnlijk gebruikt om ransomware te leveren aan gecompromitteerde apparaten

De bedreigende software die van de nep-sites wordt geleverd, komt in de vorm van getrojaniseerde ISO-installatieprogramma's met de naam 'install.exe' die een beschadigd DLL-bestand 'msi.dll' (NitrogenInstaller) dragen en vervolgens sideloaden. Het fungeert als het installatieprogramma voor Nitrogen Malware. Bovendien stelt het ook de beloofde applicatie in om te voorkomen dat de slachtoffers argwaan wekken. De malware stelt een persistentiemechanisme in door een 'Python'-registersleutel te maken die met een interval van vijf minuten wordt uitgevoerd en wijst naar een kwaadaardig binair bestand met de naam 'pythonw.exe'.

De Python-component van de malware, genaamd 'python.311.dll' (NitrogenStager), zorgt voor de communicatie met de Command-and-Control-server (C2) van de hackers. Het initieert ook een Meterpreter- granaat en Cobalt Strike Beacons op de computer van het slachtoffer.

In bepaalde gevallen voeren de aanvallers praktische acties uit zodra het Meterpreter-script op de beoogde systemen wordt uitgevoerd. Ze gebruiken handmatige opdrachten om extra ZIP-bestanden en Python 3-omgevingen op te halen, die nodig zijn om Cobalt Strike in het geheugen uit te voeren, aangezien de NitrogenStager zelf geen Python-scripts kan uitvoeren. De infectieketen van Nitrogen-malware wijst erop dat de gecompromitteerde apparaten worden geënsceneerd voor de inzet van de uiteindelijke ransomware-payloads.