Azot Kötü Amaçlı Yazılımı
Araştırmacılar, "Azot" olarak izledikleri bir ilk erişim kötü amaçlı yazılım kampanyasını ortaya çıkardılar. Siber suçlular, şüphelenmeyen kurbanları etkilemenin bir yolu olarak sahte yazılım web sitelerini tanıtmak için Google ve Bing arama reklamlarından yararlanıyor. Bu siteleri ziyaret eden kullanıcılar, farkında olmadan tehdit edici Cobalt Strike ve fidye yazılımı yüklerinin konuşlandırılmasının kurbanı olurlar.
Nitrogen kötü amaçlı yazılımının arkasındaki temel amaç, tehdit aktörlerine kurumsal ağlara ilk giriş noktası sağlamaktır. Kötü niyetli aktörler sızdıktan sonra veri hırsızlığı yapma, siber casusluk yapma ve nihayetinde yıkıcı BlackCat/ALPHV Fidye Yazılımını serbest bırakma becerisi kazanır.
Nitrogen kampanyasının derinlemesine bir analizi, ağırlıklı olarak Kuzey Amerika'da bulunan teknoloji ve kar amacı gütmeyen kuruluşları kapsayan birincil hedeflerini ortaya çıkardı. Saldırganlar, planlarını AnyDesk, Cisco AnyConnect VPN, TreeSize Free ve WinSCP gibi saygın yazılım sağlayıcılarının kimliğine bürünerek yürütürler. Bu aldatıcı taktik, kullanıcıları orijinal yazılıma eriştiklerine inandırarak, bunun yerine Nitrogen kötü amaçlı yazılımının tehlikelerine maruz kalmalarını sağlar.
Bu kampanyada Google ve Bing arama ağı reklamlarının kullanılması, ek bir karmaşıklık katmanı ekleyerek tehdit aktörlerinin daha geniş bir potansiyel kurban havuzuna ulaşmasını sağlar. Saldırganlar, bu popüler arama motorlarından yararlanarak, kullanıcıları hileli yazılım bağlantılarına tıklamaya ikna etme ve böylece kötü amaçlı bulaşma sürecini başlatma olasılığını artırır.
Nitrogen Kötü Amaçlı Yazılımı Belirli Coğrafi Konumlardaki Kurbanları Hedefliyor
Nitrogen Kötü Amaçlı Yazılım kampanyası, kullanıcılar çeşitli iyi bilinen yazılım uygulamaları için bir Google veya Bing araması yaptıklarında başlar. Bu kampanyada yem olarak kullanılan yazılımlar arasında AnyDesk (bir uzak masaüstü uygulaması), WinSCP (Windows için bir SFTP/FTP istemcisi), Cisco AnyConnect (bir VPN paketi) ve TreeSize Free (bir disk alanı hesaplayıcısı ve yöneticisi) bulunmaktadır. Yazılım tuzaklarının seçimi, saldırganların hedefleme kriterlerine bağlıdır.
Bir kullanıcı bu yazılım uygulamalarından herhangi birini aradığında, ilgili arama motoru, tam olarak yazılım ürününü tanıtan bir reklam görüntüler. Kullanıcılar, farkında olmadan, istenen yazılımı indirmeyi umarak, meşru görünen bu reklamlara tıklayabilir.
Ancak, bağlantı, ziyaretçileri orijinal web sitesine ulaşmak yerine güvenliği ihlal edilmiş WordPress barındırma sayfalarına yönlendirir. Bu sayfalar, söz konusu belirli uygulama için resmi indirme sitelerinin görünümünü taklit edecek şekilde ustalıkla tasarlanmıştır.
Ancak, herkes güvenli olmayan web sitelerine götürülmez. Yalnızca belirli coğrafi bölgelerden gelen ziyaretçiler seçici olarak kimlik avı sitelerine yönlendirilir ve seçilen bölgelerden potansiyel kurbanları cezbetme şansı artar. Herhangi biri sayfalara bir reklam aracılığıyla yönlendirilmek yerine doğrudan bağlantısını açarak ulaşmaya çalışırsa, Rick Astley'nin rick-rolling olarak bilinen bir hareket olan klasiği "Never Gonna Give You Up"ın YouTube videosuna yönlendirilir.
Nitrogen Kötü Amaçlı Yazılımı, Tehlike Altındaki Cihazlara Fidye Yazılımları Teslim Etmek İçin Büyük Olasılıkla Kullanıldı
Sahte sitelerden teslim edilen tehdit edici yazılım, bozuk bir DLL dosyası olan 'msi.dll'yi (NitrogenInstaller) taşıyan ve sonra yandan yükleyen 'install.exe' adlı truva atına alınmış ISO yükleyicileri biçiminde gelir. Nitrogen Malware için yükleyici görevi görür. Ayrıca, kurbanlarda herhangi bir şüphe uyandırmamak için vaat edilen uygulamayı da kurar. Kötü amaçlı yazılım, beş dakikalık aralıklarla çalışan ve 'pythonw.exe' adlı kötü amaçlı bir ikili dosyayı işaret eden bir 'Python' kayıt çalıştırma anahtarı oluşturarak bir kalıcılık mekanizması oluşturur.
Kötü amaçlı yazılımın 'python.311.dll' (NitrogenStager) adlı Python bileşeni, bilgisayar korsanlarının Komuta ve Kontrol sunucusu (C2) ile iletişim kurma görevini üstlenir. Ayrıca kurbanın bilgisayarında bir Meterpreter kabuğu ve Cobalt Strike Beacons başlatır.
Belirli durumlarda, saldırganlar, Meterpreter betiği hedeflenen sistemlerde çalıştırıldıktan sonra uygulamalı eylemlerde bulunur. NitrogenStager'ın kendisi Python komut dosyalarını yürütemediğinden, bellekte Cobalt Strike'ı çalıştırmak için gerekli olan ek ZIP dosyalarını ve Python 3 ortamlarını almak için manuel komutlar kullanırlar. Nitrogen kötü amaçlı yazılımının bulaşma zinciri, güvenliği ihlal edilmiş cihazları nihai fidye yazılımı yüklerinin konuşlandırılması için hazırlamaya işaret ediyor.
