Dusíkatý malvér
Výskumníci odhalili počiatočnú kampaň so škodlivým softvérom, ktorý sledujú ako „dusík“. Kyberzločinci využívajú reklamy vo vyhľadávaní Google a Bing na propagáciu webových stránok s falošným softvérom ako spôsob, ako infikovať nič netušiace obete. Používatelia, ktorí navštívia tieto stránky, sa nevedomky stanú obeťami nasadenia hrozivej Cobalt Strike a ransomvéru.
Hlavným cieľom dusíkatého malvéru je poskytnúť aktérom hrozieb počiatočný vstupný bod do podnikových sietí. Po infiltrovaní získajú záškodníci schopnosť vykonávať krádež údajov, zapojiť sa do kyberšpionáže a v konečnom dôsledku rozpútať deštruktívny BlackCat/ALPHV Ransomware .
Hĺbková analýza kampane Dusík odhalila jej primárne ciele, ktoré zahŕňajú najmä technológie a neziskové organizácie v Severnej Amerike. Útočníci vykonávajú svoju schému tak, že sa vydávajú za renomovaných poskytovateľov softvéru, ako sú AnyDesk, Cisco AnyConnect VPN, TreeSize Free a WinSCP. Táto klamná taktika klame používateľov, aby verili, že majú prístup k originálnemu softvéru, len aby boli namiesto toho vystavení nebezpečenstvu škodlivého softvéru Dusík.
Použitie vyhľadávacích reklám Google a Bing v tejto kampani pridáva ďalšiu úroveň sofistikovanosti, ktorá umožňuje aktérom hrozby osloviť širší okruh potenciálnych obetí. Využitím týchto populárnych vyhľadávacích nástrojov útočníci zvyšujú pravdepodobnosť, že nalákajú používateľov, aby klikli na odkazy na podvodný softvér, čím sa spustí proces zákernej infekcie.
Dusíkatý malvér sa zameriava na obete z konkrétnych geografických oblastí
Kampaň Nitrogen Malware sa začína, keď používatelia vyhľadajú na stránkach Google alebo Bing rôzne známe softvérové aplikácie. Medzi softvér použitý ako návnada v tejto kampani patrí AnyDesk (aplikácia vzdialenej pracovnej plochy), WinSCP (klient SFTP/FTP pre Windows), Cisco AnyConnect (súprava VPN) a TreeSize Free (kalkulátor a správca miesta na disku). Výber softvérových návnad je založený na kritériách zacielenia útočníkov.
Keď používateľ hľadá ktorúkoľvek z týchto softvérových aplikácií, príslušný vyhľadávací nástroj zobrazí reklamu, ktorá zrejme propaguje presný softvérový produkt. Používatelia môžu nevedomky kliknúť na tieto zdanlivo legitímne reklamy v nádeji, že si stiahnu požadovaný softvér.
Namiesto toho, aby sa dostali na skutočnú webovú stránku, odkaz presmeruje návštevníkov na napadnuté hostiteľské stránky WordPress. Tieto stránky sú šikovne navrhnuté tak, aby napodobňovali vzhľad oficiálnych stránok na sťahovanie pre konkrétnu aplikáciu.
Nie každý sa však dostane na nebezpečné webové stránky. Na phishingové stránky sú selektívne presmerovaní iba návštevníci z konkrétnych geografických oblastí, čím sa zaisťuje vyššia šanca na prilákanie potenciálnych obetí z vybraných oblastí. Ak sa niekto pokúsi dostať na stránky priamym otvorením svojho odkazu namiesto toho, aby sa tam dostal cez reklamu, bol by presmerovaný na YouTube video s klasikou Ricka Astleyho „Nikdy sa nevzdám“ – pohyb známy ako rick-rolling.
Dusíkový malvér bol pravdepodobne použitý na doručenie ransomvéru do kompromitovaných zariadení
Hrozivý softvér dodávaný z falošných stránok prichádza vo forme trojanizovaných inštalačných programov ISO s názvom „install.exe“, ktoré nesú a následne načítavajú poškodený súbor DLL „msi.dll“ (NitrogenInstaller). Funguje ako inštalačný program pre dusíkatý malvér. Okrem toho nastavuje aj sľúbenú aplikáciu, aby sa vyhlo vzbudzovaniu akéhokoľvek podozrenia zo strany obetí. Malvér vytvára mechanizmus pretrvávania vytvorením kľúča spustenia databázy Registry „Python“, ktorý sa spúšťa v päťminútových intervaloch a ukazuje na škodlivý binárny súbor s názvom „pythonw.exe“.
Zložka Python malvéru s názvom 'python.311.dll' (NitrogenStager) má na starosti nadviazanie komunikácie s hackerským serverom Command-and-Control (C2). Tiež iniciuje granát Meterpreter a Cobalt Strike Beacons na počítači obete.
V niektorých prípadoch sa útočníci zapoja do praktických akcií, keď sa skript Meterpreter spustí na cieľových systémoch. Používajú manuálne príkazy na načítanie ďalších ZIP súborov a prostredí Python 3, ktoré sú potrebné na spustenie Cobalt Strike v pamäti, pretože samotný NitrogenStager nedokáže spúšťať skripty Python. Infekčný reťazec dusíkatého malvéru poukazuje na zinscenovanie napadnutých zariadení na nasadenie konečných dát ransomvéru.
