Nitrogen Malware
Forskare har upptäckt en första skadlig kampanj för åtkomst som de spårar som "Kväve". Cyberkriminella har använt sökannonser från Google och Bing för att marknadsföra webbplatser för förfalskade programvara som ett sätt att infektera intet ont anande offer. Användare som besöker dessa webbplatser faller omedvetet offer för utplaceringen av den hotande Cobalt Strike och lösenprogramvaran.
Kärnmålet bakom Nitrogen malware är att ge hotaktörer en första ingångspunkt till företagsnätverk. När de väl infiltrerats får de illvilliga aktörerna möjligheten att utföra datastöld, engagera sig i cyberspionage och slutligen släppa loss den destruktiva BlackCat/ALPHV Ransomware .
En djupgående analys av kvävekampanjen har avslöjat dess primära mål, som till övervägande del omfattar teknik och ideella organisationer i Nordamerika. Angriparna utför sitt system genom att utge sig för välrenommerade programvaruleverantörer som AnyDesk, Cisco AnyConnect VPN, TreeSize Free och WinSCP. Denna vilseledande taktik lurar användare att tro att de använder äkta programvara, bara för att istället bli utsatta för farorna med Nitrogen malware.
Användningen av Google och Bing sökannonser i den här kampanjen lägger till ett extra lager av sofistikering, vilket gör att hotaktörerna kan nå en bredare pool av potentiella offer. Genom att utnyttja dessa populära sökmotorer ökar angriparna sannolikheten för att locka användare att klicka på de bedrägliga programlänkarna, och därmed initiera den skadliga infektionsprocessen.
Nitrogen Malware riktar sig mot offer från specifika geografiska platser
Nitrogen Malware-kampanjen startar när användare gör en Google- eller Bing-sökning efter olika välkända program. Bland mjukvaran som används som bete i denna kampanj är AnyDesk (en fjärrskrivbordsapplikation), WinSCP (en SFTP/FTP-klient för Windows), Cisco AnyConnect (en VPN-svit) och TreeSize Free (en diskutrymmeskalkylator och -hanterare). Valet av mjukvarubeten baseras på angriparnas inriktningskriterier.
När en användare söker efter någon av dessa mjukvaruapplikationer visar respektive sökmotor en annons som verkar marknadsföra den exakta mjukvaruprodukten. Omedvetet kan användare klicka på dessa till synes legitima annonser i hopp om att ladda ner önskad programvara.
Men istället för att nå den äkta webbplatsen omdirigerar länken besökare till komprometterade WordPress-värdsidor. Dessa sidor är skickligt utformade för att efterlikna utseendet på de officiella nedladdningssidorna för den specifika applikationen i fråga.
Det är dock inte alla som förs till osäkra webbplatser. Endast besökare från specifika geografiska regioner omdirigeras selektivt till nätfiskesidorna, vilket säkerställer en högre chans att locka potentiella offer från de valda områdena. Om någon försöker nå sidorna genom att direkt öppna sin länk istället för att föras dit via en annons, kommer de att omdirigeras till en YouTube-video av Rick Astleys klassiker "Never Gonna Give You Up" – ett drag som kallas rick-rolling.
Nitrogen Malware användes sannolikt för att leverera Ransomware till komprometterade enheter
Den hotfulla programvaran som levereras från de falska sajterna kommer i form av trojaniserade ISO-installatörer som heter 'install.exe' som bär och sedan sidladdar en skadad DLL-fil 'msi.dll' (NitrogenInstaller). Det fungerar som installationsprogrammet för Nitrogen Malware. Dessutom sätter den också upp den utlovade applikationen för att undvika att väcka misstankar från offren. Skadlig programvara etablerar en beständighetsmekanism genom att skapa en "Python"-registerkörningsnyckel som körs med ett intervall på fem minuter och pekar mot en skadlig binärfil med namnet "pythonw.exe".
Python-komponenten av skadlig programvara, kallad 'python.311.dll' (NitrogenStager), tar ansvar för att upprätta kommunikation med hackarnas Command-and-Control-server (C2). Den initierar också ett Meterpreter- skal och Cobalt Strike Beacons på offrets dator.
I vissa fall ägnar sig angriparna åt praktiska handlingar när Meterpreter-skriptet körs på de riktade systemen. De använder manuella kommandon för att hämta ytterligare ZIP-filer och Python 3-miljöer, som är nödvändiga för att köra Cobalt Strike i minnet, eftersom NitrogenStager själv inte kan exekvera Python-skript. Infektionskedjan av Nitrogen malware pekar på att iscensätta de komprometterade enheterna för utplacering av slutgiltiga nyttolaster för ransomware.
