Malware i azotit

Studiuesit kanë zbuluar një fushatë fillestare të aksesit të malware që ata po e gjurmojnë si 'Azot'. Kriminelët kibernetikë kanë përdorur reklamat e kërkimit të Google dhe Bing për të promovuar faqet e internetit të softuerëve të falsifikuar si një mënyrë për të infektuar viktimat që nuk dyshojnë. Përdoruesit që vizitojnë këto faqe në mënyrë të pavetëdijshme bien viktimë e vendosjes së ngarkesave kërcënuese të Cobalt Strike dhe ransomware.

Objektivi kryesor që qëndron pas malware-it Nitrogen është t'u japë aktorëve të kërcënimit një pikë hyrëse fillestare në rrjetet e korporatave. Pasi të depërtohen, aktorët me qëllim të keq fitojnë aftësinë për të kryer vjedhje të të dhënave, për t'u përfshirë në spiunazh kibernetik dhe në fund të fundit lëshojnë Ransomware-in shkatërrues BlackCat/ALPHV .

Një analizë e thellë e fushatës së Azotit ka zbuluar objektivat e saj kryesore, të cilat përfshijnë kryesisht teknologjinë dhe organizatat jofitimprurëse të vendosura në Amerikën e Veriut. Sulmuesit ekzekutojnë skemën e tyre duke imituar ofruesit e softuerit me reputacion si AnyDesk, Cisco AnyConnect VPN, TreeSize Free dhe WinSCP. Kjo taktikë mashtruese i mashtron përdoruesit të besojnë se po i qasen softuerit të mirëfilltë, vetëm për t'u ekspozuar ndaj rreziqeve të malware të Nitrogen.

Përdorimi i reklamave të kërkimit të Google dhe Bing në këtë fushatë shton një shtresë shtesë të sofistikimit, duke u mundësuar aktorëve të kërcënimit të arrijnë një grup më të gjerë viktimash të mundshme. Duke shfrytëzuar këta motorë kërkimi të njohur, sulmuesit rrisin gjasat për të joshur përdoruesit të klikojnë në lidhjet mashtruese të softuerit, duke filluar kështu procesin e infeksionit me qëllim të keq.

Malware i azotit synon viktima nga vendndodhje specifike gjeografike

Fushata Nitrogen Malware fillon kur përdoruesit kryejnë një kërkim në Google ose Bing për aplikacione të ndryshme softuerike të njohura. Ndër softuerët e përdorur si karrem në këtë fushatë janë AnyDesk (një aplikacion për desktop në distancë), WinSCP (një klient SFTP/FTP për Windows), Cisco AnyConnect (një paketë VPN) dhe TreeSize Free (një kalkulator dhe menaxher i hapësirës në disk). Përzgjedhja e joshjeve të softuerit bazohet në kriteret e synimit të sulmuesve.

Kur një përdorues kërkon ndonjë nga këto aplikacione softuerike, motori përkatës i kërkimit shfaq një reklamë që duket se promovon produktin e saktë të softuerit. Padashur, përdoruesit mund të klikojnë në këto reklama në dukje të ligjshme, duke shpresuar të shkarkojnë softuerin e dëshiruar.

Sidoqoftë, në vend që të arrijë në faqen e vërtetë të internetit, lidhja i ridrejton vizitorët në faqet e komprometuara të pritjes së WordPress. Këto faqe janë krijuar me mjeshtëri për të imituar pamjen e faqeve zyrtare të shkarkimit për aplikacionin specifik në fjalë.

Sidoqoftë, jo të gjithë dërgohen në faqet e internetit të pasigurta. Vetëm vizitorët nga rajone specifike gjeografike ridrejtohen në mënyrë selektive në faqet e phishing, duke siguruar një shans më të lartë për të joshur viktimat e mundshme nga zonat e zgjedhura. Nëse dikush përpiqet të arrijë faqet duke hapur drejtpërdrejt lidhjen e tij në vend që të dërgohet atje përmes një reklame, ai do të ridrejtohet në një video në YouTube të këngës klasike të Rick Astley 'Never Gonna Give You Up' - një lëvizje e njohur si rick-rolling.

Malware i Azotit ka të ngjarë të përdoret për të ofruar Ransomware në pajisjet e komprometuara

Softueri kërcënues i dorëzuar nga faqet e rreme vjen në formën e instaluesve ISO të trojanizuar të quajtur 'install.exe' që mbajnë dhe pastaj ngarkojnë një skedar të dëmtuar DLL 'msi.dll' (NitrogenInstaller). Ai vepron si instalues për Malware të Nitrogjenit. Përveç kësaj, ajo vendos edhe aplikacionin e premtuar për të shmangur ngritjen e ndonjë dyshimi nga viktimat. Malware krijon një mekanizëm të qëndrueshëm duke krijuar një çelës ekzekutimi të regjistrit 'Python' që funksionon në një interval prej pesë minutash dhe tregon drejt një binar me qëllim të keq të quajtur 'pythonw.exe'.

Komponenti Python i malware, i quajtur 'python.311.dll' (NitrogenStager), merr përsipër vendosjen e komunikimit me serverin Command-and-Control (C2) të hakerëve. Ai gjithashtu inicion një predhë Meterpreter dhe Cobalt Strike Beacons në kompjuterin e viktimës.

Në disa raste, sulmuesit angazhohen në veprime praktike pasi skripti Meterpreter ekzekutohet në sistemet e synuara. Ata përdorin komanda manuale për të tërhequr skedarë shtesë ZIP dhe mjedise Python 3, të cilat janë të nevojshme për të ekzekutuar Cobalt Strike në memorie, pasi vetë NitrogenStager nuk mund të ekzekutojë skriptet Python. Zinxhiri i infeksionit të softuerit keqdashës Nitrogen tregon për vendosjen e pajisjeve të komprometuara për vendosjen e ngarkesave përfundimtare të ransomware.