Złośliwe oprogramowanie azotowe

Badacze odkryli kampanię złośliwego oprogramowania o początkowym dostępie, którą śledzą jako „Azot”. Cyberprzestępcy wykorzystują reklamy w wyszukiwarce Google i Bing do promowania witryn z fałszywym oprogramowaniem jako sposobu na infekowanie niczego niepodejrzewających ofiar. Użytkownicy, którzy nieświadomie odwiedzają te strony, padają ofiarą rozmieszczania groźnych ładunków Cobalt Strike i ransomware.

Głównym celem złośliwego oprogramowania Nitrogen jest zapewnienie cyberprzestępcom wstępnego punktu wejścia do sieci korporacyjnych. Po infiltracji złośliwi aktorzy zyskują możliwość kradzieży danych, angażowania się w cyberszpiegostwo i ostatecznie uwolnienia destrukcyjnego oprogramowania BlackCat/ALPHV Ransomware .

Dogłębna analiza kampanii azotowej ujawniła jej główne cele, które obejmują głównie technologie i organizacje non-profit zlokalizowane w Ameryce Północnej. Atakujący wykonują swój plan, podszywając się pod renomowanych dostawców oprogramowania, takich jak AnyDesk, Cisco AnyConnect VPN, TreeSize Free i WinSCP. Ta zwodnicza taktyka oszukuje użytkowników, aby uwierzyli, że uzyskują dostęp do oryginalnego oprogramowania, tylko po to, by zamiast tego zostać narażeni na niebezpieczeństwa związane ze szkodliwym oprogramowaniem Nitrogen.

Wykorzystanie w tej kampanii reklam w wyszukiwarce Google i Bing dodaje dodatkową warstwę wyrafinowania, umożliwiając cyberprzestępcom dotarcie do szerszej puli potencjalnych ofiar. Wykorzystując te popularne wyszukiwarki, osoby atakujące zwiększają prawdopodobieństwo nakłonienia użytkowników do kliknięcia fałszywych linków do oprogramowania, inicjując w ten sposób proces złośliwej infekcji.

Złośliwe oprogramowanie azotowe atakuje ofiary z określonych lokalizacji geograficznych

Kampania złośliwego oprogramowania Nitrogen rozpoczyna się, gdy użytkownicy przeprowadzają wyszukiwanie w Google lub Bing różnych dobrze znanych aplikacji. Wśród programów wykorzystywanych jako przynęta w tej kampanii są AnyDesk (aplikacja do zdalnego pulpitu), WinSCP (klient SFTP/FTP dla Windows), Cisco AnyConnect (pakiet VPN) i TreeSize Free (kalkulator i menedżer miejsca na dysku). Wybór przynęt programowych opiera się na kryteriach kierowania atakujących.

Gdy użytkownik wyszukuje którąkolwiek z tych aplikacji, odpowiednia wyszukiwarka wyświetla reklamę, która wydaje się promować dokładnie to oprogramowanie. Nieświadomie użytkownicy mogą klikać te pozornie uzasadnione reklamy, mając nadzieję na pobranie pożądanego oprogramowania.

Jednak zamiast prowadzić do prawdziwej witryny, odsyłacz przekierowuje odwiedzających do zainfekowanych stron hostingowych WordPress. Strony te są umiejętnie zaprojektowane tak, aby naśladować wygląd oficjalnych witryn pobierania określonej aplikacji.

Jednak nie wszyscy są przenoszeni na niebezpieczne strony internetowe. Tylko odwiedzający z określonych regionów geograficznych są selektywnie przekierowywani na strony phishingowe, co zapewnia większą szansę na zwabienie potencjalnych ofiar z wybranych obszarów. Jeśli ktoś spróbuje dotrzeć do stron, otwierając bezpośrednio ich link, zamiast zostać tam przeniesionym przez reklamę, zostanie przekierowany do filmu YouTube z klasycznym utworem Ricka Astleya „Never Gonna Give You Up” – ruch znany jako rick-rolling.

Złośliwe oprogramowanie azotowe było prawdopodobnie używane do dostarczania oprogramowania ransomware na zainfekowane urządzenia

Groźne oprogramowanie dostarczane z fałszywych witryn ma postać trojanizowanych instalatorów ISO o nazwie „install.exe”, które przenoszą, a następnie ładują z boku uszkodzony plik DLL „msi.dll” (NitrogenInstaller). Działa jako instalator złośliwego oprogramowania azotowego. Ponadto konfiguruje obiecaną aplikację, aby uniknąć wzbudzania podejrzeń ze strony ofiar. Złośliwe oprogramowanie ustanawia mechanizm trwałości, tworząc klucz uruchamiania rejestru „Python”, który jest uruchamiany co pięć minut i wskazuje złośliwy plik binarny o nazwie „pythonw.exe”.

Komponent złośliwego oprogramowania w języku Python, zwany „python.311.dll” (NitrogenStager), odpowiada za nawiązywanie komunikacji z serwerem Command-and-Control (C2) hakerów. Inicjuje również powłokę Meterpretera i Cobalt Strike Beacons na komputerze ofiary.

W niektórych przypadkach osoby atakujące angażują się w działania praktyczne po wykonaniu skryptu Meterpretera w zaatakowanych systemach. Używają poleceń ręcznych, aby pobrać dodatkowe pliki ZIP i środowiska Python 3, które są niezbędne do uruchomienia Cobalt Strike w pamięci, ponieważ sam NitrogenStager nie może wykonywać skryptów Pythona. Łańcuch infekcji złośliwym oprogramowaniem Nitrogen wskazuje na przygotowanie zaatakowanych urządzeń do wdrożenia ostatecznych ładunków oprogramowania ransomware.