Zlonamerna programska oprema Nitrogen

Raziskovalci so odkrili prvotno kampanjo zlonamerne programske opreme za dostop, ki jo spremljajo kot 'Nitrogen'. Kibernetski kriminalci uporabljajo iskalne oglase Google in Bing za promocijo spletnih mest s ponarejeno programsko opremo kot način okužbe nič hudega slutečih žrtev. Uporabniki, ki obiščejo ta spletna mesta, nevede postanejo žrtve uporabe grozečega Cobalt Strike in izsiljevalske programske opreme.

Glavni cilj zlonamerne programske opreme Nitrogen je omogočiti akterjem groženj začetno vstopno točko v omrežja podjetij. Ko se infiltrirajo, zlonamerni akterji pridobijo možnost kraje podatkov, ki se vključijo v spletno vohunjenje in na koncu sprostijo uničujočo izsiljevalsko programsko opremo BlackCat/ALPHV .

Poglobljena analiza kampanje Nitrogen je razkrila njene glavne cilje, ki pretežno zajemajo tehnologijo in neprofitne organizacije v Severni Ameriki. Napadalci izvajajo svojo shemo tako, da se lažno predstavljajo kot ugledni ponudniki programske opreme, kot so AnyDesk, Cisco AnyConnect VPN, TreeSize Free in WinSCP. Ta zavajajoča taktika uporabnike zavede v prepričanje, da dostopajo do pristne programske opreme, le da so namesto tega izpostavljeni nevarnostim zlonamerne programske opreme Nitrogen.

Uporaba iskalnih oglasov Google in Bing v tej kampanji dodaja dodatno plast prefinjenosti, ki akterjem groženj omogoča, da dosežejo širši krog potencialnih žrtev. Z uporabo teh priljubljenih iskalnikov napadalci povečajo verjetnost, da bodo uporabnike premamili, da kliknejo povezave goljufive programske opreme in tako sprožijo postopek zlonamerne okužbe.

Zlonamerna programska oprema Nitrogen cilja na žrtve z določenih geografskih lokacij

Kampanja zlonamerne programske opreme Nitrogen se začne, ko uporabniki v Googlu ali Bingu iščejo različne dobro znane programske aplikacije. Med programsko opremo, uporabljeno kot vaba v tej kampanji, so AnyDesk (aplikacija za oddaljeno namizje), WinSCP (odjemalec SFTP/FTP za Windows), Cisco AnyConnect (zbirka VPN) in TreeSize Free (kalkulator in upravitelj prostora na disku). Izbira programskih vab temelji na kriterijih ciljanja napadalcev.

Ko uporabnik išče katero koli od teh programskih aplikacij, zadevni iskalnik prikaže oglas, ki se zdi, da promovira natančen programski izdelek. Uporabniki lahko nehote kliknejo te navidezno legitimne oglase v upanju, da bodo prenesli želeno programsko opremo.

Vendar pa povezava obiskovalce preusmeri na ogrožene strani za gostovanje WordPress, namesto da bi dosegli pristno spletno mesto. Te strani so spretno oblikovane tako, da posnemajo videz uradnih spletnih mest za prenos za določeno zadevno aplikacijo.

Vendar pa vsi ne pridejo na nevarna spletna mesta. Samo obiskovalci iz določenih geografskih območij so selektivno preusmerjeni na lažna spletna mesta, kar zagotavlja večjo možnost privabljanja potencialnih žrtev iz izbranih območij. Če kdo poskuša doseči strani z neposrednim odpiranjem njihove povezave, namesto da bi bil tja odpeljan prek oglasa, bi bil preusmerjen na YouTube video klasike Ricka Astleyja 'Never Gonna Give You Up' – poteza, znana kot rick-rolling.

Zlonamerna programska oprema Nitrogen je bila verjetno uporabljena za dostavo izsiljevalske programske opreme v ogrožene naprave

Nevarna programska oprema, dobavljena s ponarejenih spletnih mest, je v obliki trojaniziranih namestitvenih programov ISO z imenom »install.exe«, ki prenesejo in nato stransko naložijo poškodovano datoteko DLL »msi.dll« (NitrogenInstaller). Deluje kot namestitveni program za zlonamerno programsko opremo Nitrogen. Poleg tega vzpostavi tudi obljubljeno aplikacijo, da se izogne kakršnim koli sumom pri žrtvah. Zlonamerna programska oprema vzpostavi mehanizem obstojnosti tako, da ustvari ključ za zagon registra »Python«, ki se izvaja v intervalu petih minut in kaže na zlonamerno dvojiško datoteko z imenom »pythonw.exe«.

Komponenta zlonamerne programske opreme Python, imenovana 'python.311.dll' (NitrogenStager), skrbi za vzpostavitev komunikacije s strežnikom za ukazovanje in nadzor (C2) hekerjev. Prav tako sproži lupino Meterpreter in Cobalt Strike Beacons na žrtvinem računalniku.

V nekaterih primerih se napadalci vključijo v praktična dejanja, ko se v ciljnih sistemih izvede skript Meterpreter. Uporabljajo ročne ukaze za pridobivanje dodatnih datotek ZIP in okolij Python 3, ki so potrebni za zagon Cobalt Strike v pomnilniku, saj sam NitrogenStager ne more izvajati skriptov Python. Veriga okužbe z zlonamerno programsko opremo Nitrogen kaže na uprizoritev ogroženih naprav za uvedbo končne obremenitve izsiljevalske programske opreme.