Nitrogen Malware
Natuklasan ng mga mananaliksik ang isang paunang pag-access sa malware na kampanya na kanilang sinusubaybayan bilang 'Nitrogen.' Ginagamit ng mga cybercriminal ang mga ad sa paghahanap ng Google at Bing upang i-promote ang mga pekeng website ng software bilang isang paraan upang mahawahan ang mga hindi pinaghihinalaang biktima. Ang mga user na bumibisita sa mga site na ito ay hindi sinasadyang nabiktima ng pag-deploy ng nagbabantang Cobalt Strike at mga ransomware payload.
Ang pangunahing layunin sa likod ng Nitrogen malware ay bigyan ang mga aktor ng pagbabanta ng isang paunang entry point sa mga corporate network. Kapag nakapasok na, ang mga malisyosong aktor ay magkakaroon ng kakayahang magsagawa ng pagnanakaw ng data, makisali sa cyberespionage, at sa huli ay ilabas ang mapanirang BlackCat/ALPHV Ransomware .
Ang isang malalim na pagsusuri ng kampanyang Nitrogen ay nagsiwalat ng mga pangunahing target nito, na higit sa lahat ay sumasaklaw sa teknolohiya at mga non-profit na organisasyon na matatagpuan sa North America. Isinasagawa ng mga umaatake ang kanilang pamamaraan sa pamamagitan ng pagpapanggap bilang mga mapagkakatiwalaang software provider tulad ng AnyDesk, Cisco AnyConnect VPN, TreeSize Free at WinSCP. Ang mapanlinlang na taktika na ito ay niloloko ang mga user sa paniniwalang nag-a-access sila ng tunay na software, at sa halip ay malantad sa mga panganib ng Nitrogen malware.
Ang paggamit ng mga ad sa paghahanap ng Google at Bing sa kampanyang ito ay nagdaragdag ng karagdagang layer ng pagiging sopistikado, na nagbibigay-daan sa mga aktor ng pagbabanta na maabot ang mas malawak na pool ng mga potensyal na biktima. Sa pamamagitan ng paggamit sa mga sikat na search engine na ito, pinapataas ng mga umaatake ang posibilidad na maakit ang mga user na mag-click sa mga link ng mapanlinlang na software, kaya pinasimulan ang proseso ng nakakahamak na impeksyon.
Tinatarget ng Nitrogen Malware ang mga Biktima mula sa Mga Tukoy na Heyograpikong Lokasyon
Nagsisimula ang kampanya ng Nitrogen Malware kapag nagsagawa ang mga user ng paghahanap sa Google o Bing para sa iba't ibang kilalang software application. Kabilang sa software na ginamit bilang pain sa kampanyang ito ay ang AnyDesk (isang remote desktop application), WinSCP (isang SFTP/FTP client para sa Windows), Cisco AnyConnect (isang VPN suite) at TreeSize Free (isang disk-space calculator at manager). Ang pagpili ng mga pang-akit ng software ay batay sa pamantayan sa pag-target ng mga umaatake.
Kapag naghanap ang isang user para sa alinman sa mga software application na ito, ang kani-kanilang search engine ay nagpapakita ng isang advertisement na lumalabas upang i-promote ang eksaktong produkto ng software. Hindi sinasadya, maaaring mag-click ang mga user sa mga mukhang lehitimong ad na ito, umaasa na ma-download ang gustong software.
Gayunpaman, sa halip na maabot ang tunay na website, ang link ay nagre-redirect ng mga bisita sa nakompromisong WordPress hosting page. Ang mga pahinang ito ay mahusay na idinisenyo upang gayahin ang hitsura ng mga opisyal na site ng pag-download para sa partikular na application na pinag-uusapan.
Gayunpaman, hindi lahat ay dinadala sa hindi ligtas na mga website. Tanging ang mga bisita mula sa mga partikular na heyograpikong rehiyon ang piling ini-redirect sa mga phishing site, na tinitiyak ang mas mataas na pagkakataon na maakit ang mga potensyal na biktima mula sa mga napiling lugar. Kung may sinumang sumubok na maabot ang mga pahina sa pamamagitan ng direktang pagbubukas ng kanilang link sa halip na dalhin doon sa pamamagitan ng isang ad, ire-redirect sila sa isang video sa YouTube ng klasikong 'Never Gonna Give You Up' ni Rick Astley – isang hakbang na kilala bilang rick-rolling.
Ang Nitrogen Malware ay Malamang na Ginamit para Maghatid ng Ransomware sa Mga Nakompromisong Device
Ang nagbabantang software na inihatid mula sa mga pekeng site ay nagmumula sa anyo ng mga trojanized na ISO installer na pinangalanang 'install.exe' na nagdadala at pagkatapos ay sideload ang isang sirang DLL file na 'msi.dll' (NitrogenInstaller). Ito ay gumaganap bilang ang installer para sa Nitrogen Malware. Dagdag pa rito, itinatakda din nito ang ipinangakong aplikasyon upang maiwasang magdulot ng anumang hinala mula sa mga biktima. Ang malware ay nagtatatag ng isang mekanismo ng pagtitiyaga sa pamamagitan ng paglikha ng isang 'Python' registry run key na tumatakbo sa pagitan ng limang minuto at tumuturo patungo sa isang malisyosong binary na pinangalanang 'pythonw.exe.'
Ang Python component ng malware, na tinatawag na 'python.311.dll' (NitrogenStager), ang namamahala sa pagtatatag ng komunikasyon sa Command-and-Control server (C2) ng mga hacker. Nagsisimula rin ito ng Meterpreter shell at Cobalt Strike Beacon sa computer ng biktima.
Sa ilang partikular na pagkakataon, ang mga umaatake ay nagsasagawa ng mga hands-on na aksyon kapag ang Meterpreter script ay naisakatuparan sa mga naka-target na system. Gumagamit sila ng mga manu-manong command upang kunin ang mga karagdagang ZIP file at Python 3 na kapaligiran, na kinakailangan upang patakbuhin ang Cobalt Strike sa memorya, dahil ang NitrogenStager mismo ay hindi maaaring magsagawa ng mga script ng Python. Itinuturo ng chain ng impeksyon ng Nitrogen malware ang pagtatanghal ng mga nakompromisong device para sa pag-deploy ng mga huling ransomware payload.
