Вредоносное ПО азота

Исследователи обнаружили кампанию вредоносного ПО с первоначальным доступом, которую они отслеживают как «Азот». Киберпреступники используют поисковые объявления Google и Bing для продвижения веб-сайтов с контрафактным программным обеспечением, чтобы заразить ничего не подозревающих жертв. Пользователи, которые посещают эти сайты, неосознанно становятся жертвами развертывания угрожающих полезных нагрузок Cobalt Strike и программ-вымогателей.

Основная цель вредоносного ПО Nitrogen — предоставить злоумышленникам начальную точку входа в корпоративные сети. После проникновения злоумышленники получают возможность осуществлять кражу данных, заниматься кибершпионажем и в конечном итоге запускать разрушительную программу-вымогатель BlackCat/ALPHV .

Углубленный анализ кампании Nitrogen выявил ее основные цели, которые преимущественно охватывают технологические и некоммерческие организации, расположенные в Северной Америке. Злоумышленники реализуют свою схему, выдавая себя за авторитетных поставщиков программного обеспечения, таких как AnyDesk, Cisco AnyConnect VPN, TreeSize Free и WinSCP. Эта обманчивая тактика обманывает пользователей, заставляя их поверить, что они получают доступ к подлинному программному обеспечению, только для того, чтобы вместо этого подвергаться опасностям вредоносного ПО Nitrogen.

Использование поисковых объявлений Google и Bing в этой кампании добавляет дополнительный уровень сложности, позволяя злоумышленникам охватить более широкий круг потенциальных жертв. Используя эти популярные поисковые системы, злоумышленники увеличивают вероятность того, что пользователи будут переходить по ссылкам мошеннического программного обеспечения, тем самым инициируя процесс заражения вредоносным ПО.

Вредоносное ПО Nitrogen нацелено на жертв из определенных географических мест

Кампания Nitrogen Malware начинается, когда пользователи выполняют поиск в Google или Bing различных известных программных приложений. Среди программного обеспечения, используемого в качестве приманки в этой кампании, — AnyDesk (приложение для удаленного рабочего стола), WinSCP (клиент SFTP/FTP для Windows), Cisco AnyConnect (пакет VPN) и TreeSize Free (калькулятор и менеджер дискового пространства). Выбор программных приманок основывается на критериях нацеливания злоумышленников.

Когда пользователь ищет какое-либо из этих программных приложений, соответствующая поисковая система отображает рекламу, которая, как представляется, продвигает конкретный программный продукт. Невольно пользователи могут нажимать на эти, казалось бы, законные объявления, надеясь загрузить желаемое программное обеспечение.

Однако вместо того, чтобы попасть на настоящий веб-сайт, ссылка перенаправляет посетителей на скомпрометированные страницы хостинга WordPress. Эти страницы искусно спроектированы так, чтобы имитировать внешний вид официальных сайтов загрузки для конкретного рассматриваемого приложения.

Однако не все попадают на небезопасные сайты. Только посетители из определенных географических регионов выборочно перенаправляются на фишинговые сайты, что повышает вероятность переманивания потенциальных жертв из выбранных регионов. Если кто-то попытается перейти на страницы, напрямую открыв свою ссылку, а не попадая туда через рекламу, он будет перенаправлен на YouTube-видео классической песни Рика Эстли «Never Gonna Give You Up» — ход, известный как рик-роллинг.

Вредоносная программа Nitrogen, вероятно, использовалась для доставки программ-вымогателей на взломанные устройства

Угрожающее программное обеспечение, поставляемое с поддельных сайтов, представляет собой троянские установщики ISO с именем install.exe, которые несут, а затем загружают поврежденный DLL-файл msi.dll (NitrogenInstaller). Он действует как установщик для Nitrogen Malware. Кроме того, он также устанавливает обещанное приложение, чтобы не вызывать никаких подозрений у жертв. Вредоносная программа устанавливает механизм сохранения путем создания ключа запуска реестра Python, который запускается с интервалом в пять минут и указывает на вредоносный двоичный файл с именем pythonw.exe.

Компонент Python вредоносной программы под названием «python.311.dll» (NitrogenStager) отвечает за установление связи с сервером управления и контроля хакеров (C2). Он также запускает оболочку Meterpreter и маяки Cobalt Strike на компьютере жертвы.

В некоторых случаях злоумышленники выполняют практические действия после запуска сценария Meterpreter в целевых системах. Они используют ручные команды для извлечения дополнительных ZIP-файлов и сред Python 3, которые необходимы для запуска Cobalt Strike в памяти, поскольку сам NitrogenStager не может выполнять сценарии Python. Цепочка заражения вредоносной программой Nitrogen указывает на промежуточную подготовку скомпрометированных устройств для развертывания конечных полезных нагрузок программ-вымогателей.