มัลแวร์ไนโตรเจน
นักวิจัยได้ค้นพบแคมเปญมัลแวร์การเข้าถึงเริ่มต้นที่พวกเขากำลังติดตามว่าเป็น 'ไนโตรเจน' อาชญากรไซเบอร์ใช้โฆษณาบนการค้นหาของ Google และ Bing เพื่อโปรโมตเว็บไซต์ซอฟต์แวร์ปลอมเพื่อแพร่เชื้อไปยังเหยื่อที่ไม่สงสัย ผู้ใช้ที่เข้าชมเว็บไซต์เหล่านี้อาจตกเป็นเหยื่อของการติดตั้งใช้งานเพย์โหลด Cobalt Strike และแรนซัมแวร์ที่เป็นภัยคุกคาม
วัตถุประสงค์หลักที่อยู่เบื้องหลังมัลแวร์ไนโตรเจนคือการให้สิทธิ์แก่ผู้คุกคามที่เป็นจุดเริ่มต้นเข้าสู่เครือข่ายขององค์กร เมื่อแทรกซึมเข้าไปแล้ว ผู้ประสงค์ร้ายจะได้รับความสามารถในการขโมยข้อมูล มีส่วนร่วมในการสอดแนมทางไซเบอร์ และในที่สุดก็ปลดปล่อย แรนซัมแวร์ BlackCat/ALPHV ที่ทำลายล้าง
การวิเคราะห์เชิงลึกของแคมเปญไนโตรเจนได้เปิดเผยเป้าหมายหลัก ซึ่งครอบคลุมเทคโนโลยีและองค์กรไม่แสวงหาผลกำไรที่ตั้งอยู่ในอเมริกาเหนือเป็นหลัก ผู้โจมตีดำเนินการตามแผนการของพวกเขาโดยแอบอ้างเป็นผู้ให้บริการซอฟต์แวร์ที่มีชื่อเสียง เช่น AnyDesk, Cisco AnyConnect VPN, TreeSize Free และ WinSCP กลวิธีหลอกลวงนี้ทำให้ผู้ใช้หลงเชื่อว่าพวกเขากำลังเข้าถึงซอฟต์แวร์ของแท้ แต่กลับได้รับอันตรายจากมัลแวร์ไนโตรเจนแทน
การใช้โฆษณาบนการค้นหาของ Google และ Bing ในแคมเปญนี้เพิ่มความซับซ้อนอีกชั้นหนึ่ง ทำให้ผู้คุกคามสามารถเข้าถึงกลุ่มผู้ที่อาจเป็นเหยื่อได้ในวงกว้างขึ้น ด้วยการใช้ประโยชน์จากเครื่องมือค้นหายอดนิยมเหล่านี้ ผู้โจมตีจะเพิ่มโอกาสในการล่อลวงผู้ใช้ให้คลิกลิงก์ซอฟต์แวร์ปลอม ซึ่งจะเป็นการเริ่มกระบวนการติดไวรัสที่เป็นอันตราย
มัลแวร์ไนโตรเจนกำหนดเป้าหมายเหยื่อจากตำแหน่งทางภูมิศาสตร์ที่เฉพาะเจาะจง
แคมเปญมัลแวร์ไนโตรเจนเริ่มต้นเมื่อผู้ใช้ค้นหา Google หรือ Bing เพื่อค้นหาแอปพลิเคชันซอฟต์แวร์ที่มีชื่อเสียงต่างๆ ในบรรดาซอฟต์แวร์ที่ใช้เป็นเหยื่อในแคมเปญนี้ ได้แก่ AnyDesk (แอปพลิเคชันเดสก์ท็อประยะไกล), WinSCP (ไคลเอนต์ SFTP/FTP สำหรับ Windows), Cisco AnyConnect (ชุดโปรแกรม VPN) และ TreeSize Free (เครื่องคำนวณและจัดการพื้นที่ดิสก์) การเลือกซอฟต์แวร์เหยื่อล่อขึ้นอยู่กับเกณฑ์การกำหนดเป้าหมายของผู้โจมตี
เมื่อผู้ใช้ค้นหาแอปพลิเคชันซอฟต์แวร์ใดๆ เหล่านี้ เครื่องมือค้นหาที่เกี่ยวข้องจะแสดงโฆษณาที่ดูเหมือนจะส่งเสริมผลิตภัณฑ์ซอฟต์แวร์นั้นๆ ผู้ใช้อาจคลิกที่โฆษณาที่ดูเหมือนถูกต้องเหล่านี้โดยไม่เจตนา โดยหวังว่าจะดาวน์โหลดซอฟต์แวร์ที่ต้องการ
อย่างไรก็ตาม แทนที่จะเข้าถึงเว็บไซต์ของแท้ ลิงก์จะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าโฮสติ้ง WordPress ที่ถูกบุกรุก หน้าเหล่านี้ได้รับการออกแบบอย่างชำนาญเพื่อเลียนแบบรูปลักษณ์ของไซต์ดาวน์โหลดอย่างเป็นทางการสำหรับแอปพลิเคชันเฉพาะที่เป็นปัญหา
อย่างไรก็ตาม ไม่ใช่ทุกคนที่จะถูกพาไปที่เว็บไซต์ที่ไม่ปลอดภัย เฉพาะผู้เยี่ยมชมจากพื้นที่ทางภูมิศาสตร์ที่เฉพาะเจาะจงเท่านั้นที่จะถูกเลือกเปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่ง เพื่อให้มั่นใจว่ามีโอกาสสูงที่จะล่อลวงผู้ที่อาจตกเป็นเหยื่อจากพื้นที่ที่เลือก ถ้าใครก็ตามพยายามเข้าถึงหน้าต่างๆ โดยการเปิดลิงก์โดยตรงแทนที่จะไปที่หน้านั้นผ่านโฆษณา พวกเขาจะถูกเปลี่ยนเส้นทางไปยังวิดีโอ YouTube ของเพลงคลาสสิก 'Never Gonna Give You Up' ของ Rick Astley ซึ่งเป็นท่าที่รู้จักกันในชื่อ rick-rolling
มัลแวร์ไนโตรเจนมีแนวโน้มที่จะใช้เพื่อส่งแรนซัมแวร์ไปยังอุปกรณ์ที่ถูกบุกรุก
ซอฟต์แวร์คุกคามที่ส่งมาจากไซต์ปลอมนั้นมาในรูปแบบของโปรแกรมติดตั้ง ISO ที่ถูกโทรจันชื่อ 'install.exe' ซึ่งจะทำการไซด์โหลดไฟล์ DLL ที่เสียหาย 'msi.dll' (NitrogenInstaller) มันทำหน้าที่เป็นตัวติดตั้งสำหรับ Nitrogen Malware นอกจากนี้ยังตั้งค่าแอปพลิเคชันที่สัญญาไว้เพื่อหลีกเลี่ยงข้อสงสัยจากผู้ที่ตกเป็นเหยื่อ มัลแวร์สร้างกลไกการคงอยู่โดยสร้างคีย์การเรียกใช้รีจิสทรี 'Python' ซึ่งทำงานทุก ๆ ห้านาทีและชี้ไปที่ไบนารีที่เป็นอันตรายชื่อ 'pythonw.exe'
คอมโพเนนต์ Python ของมัลแวร์ที่เรียกว่า 'python.311.dll' (NitrogenStager) ทำหน้าที่สร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ของแฮ็กเกอร์ นอกจากนี้ยังเริ่มต้นเปลือก Meterpreter และ Cobalt Strike Beacons บนคอมพิวเตอร์ของเหยื่อ
ในบางกรณี ผู้โจมตีมีส่วนร่วมในการลงมือปฏิบัติจริงเมื่อสคริปต์ Meterpreter ถูกเรียกใช้บนระบบเป้าหมาย พวกเขาใช้คำสั่งด้วยตนเองเพื่อดึงไฟล์ ZIP เพิ่มเติมและสภาพแวดล้อม Python 3 ซึ่งจำเป็นต่อการเรียกใช้ Cobalt Strike ในหน่วยความจำ เนื่องจาก NitrogenStager เองไม่สามารถรันสคริปต์ Python ได้ ห่วงโซ่การติดเชื้อของมัลแวร์ไนโตรเจนชี้ไปที่การจัดเตรียมอุปกรณ์ที่ถูกบุกรุกสำหรับการปรับใช้เพย์โหลดแรนซัมแวร์ขั้นสุดท้าย
