Шкідливе програмне забезпечення Nitrogen

Дослідники виявили кампанію зловмисного програмного забезпечення початкового доступу, яку вони відстежують як «Nitrogen». Кіберзлочинці використовували пошукову рекламу Google і Bing для просування веб-сайтів із підробленим програмним забезпеченням як спосіб зараження нічого не підозрюючих жертв. Користувачі, які відвідують ці сайти, несвідомо стають жертвами розгортання загрозливого Cobalt Strike і програми-вимагача.

Основна мета зловмисного програмного забезпечення Nitrogen — надати зловмисникам початкову точку входу в корпоративні мережі. Після проникнення зловмисники отримують можливість викрадати дані, брати участь у кібершпигунстві та, зрештою, запускати руйнівну програму-вимагач BlackCat/ALPHV .

Поглиблений аналіз кампанії Nitrogen виявив її основні цілі, які переважно охоплюють технології та некомерційні організації, розташовані в Північній Америці. Зловмисники реалізують свою схему, видаючи себе за авторитетних постачальників програмного забезпечення, таких як AnyDesk, Cisco AnyConnect VPN, TreeSize Free і WinSCP. Ця оманлива тактика змушує користувачів повірити, що вони отримують доступ до справжнього програмного забезпечення, а натомість наражаються на небезпеку шкідливого програмного забезпечення Nitrogen.

Використання пошукових оголошень Google і Bing у цій кампанії додає додатковий рівень витонченості, дозволяючи суб’єктам загрози охопити ширше коло потенційних жертв. Використовуючи ці популярні пошукові системи, зловмисники підвищують ймовірність спонукати користувачів натискати посилання на шахрайське програмне забезпечення, таким чином ініціюючи процес зараження зловмисників.

Зловмисне програмне забезпечення Nitrogen націлене на жертв із певних географічних місць

Кампанія Nitrogen зловмисного програмного забезпечення починається, коли користувачі здійснюють пошук у Google або Bing різних відомих програмних програм. Серед програмного забезпечення, яке використовується як приманка в цій кампанії, є AnyDesk (додаток для віддаленого робочого столу), WinSCP (клієнт SFTP/FTP для Windows), Cisco AnyConnect (пакет VPN) і TreeSize Free (калькулятор і менеджер дискового простору). Вибір програмних приманок базується на критеріях націлювання зловмисників.

Коли користувач шукає будь-яку з цих програмних програм, відповідна пошукова система відображає рекламу, яка рекламує саме цей програмний продукт. Мимоволі користувачі можуть клацати ці, здавалося б, законні оголошення, сподіваючись завантажити потрібне програмне забезпечення.

Однак замість переходу на справжній веб-сайт посилання перенаправляє відвідувачів на скомпрометовані сторінки хостингу WordPress. Ці сторінки вміло розроблені, щоб імітувати зовнішній вигляд офіційних сайтів завантаження конкретної програми, про яку йдеться.

Однак не всі потрапляють на небезпечні веб-сайти. Лише відвідувачі з певних географічних регіонів вибірково перенаправляються на фішингові сайти, забезпечуючи вищі шанси заманити потенційних жертв із вибраних регіонів. Якщо хтось спробує перейти на сторінку, відкривши посилання, замість того, щоб потрапити туди через рекламу, він буде перенаправлений на YouTube-відео класичної пісні Ріка Естлі «Never Gonna Give You Up» – рух, відомий як rick-rolling.

Зловмисне програмне забезпечення Nitrogen, ймовірно, використовувалося для доставки програм-вимагачів на скомпрометовані пристрої

Загрозливе програмне забезпечення, яке постачається з підроблених сайтів, постачається у формі троянських інсталяторів ISO під назвою «install.exe», які містять, а потім завантажують пошкоджений файл DLL «msi.dll» (NitrogenInstaller). Він діє як інсталятор для Nitrogen Malware. Крім того, він також налаштовує обіцяну програму, щоб уникнути будь-яких підозр у жертв. Зловмисне програмне забезпечення встановлює механізм збереження, створюючи ключ запуску реєстру «Python», який запускається з інтервалом у п’ять хвилин і вказує на шкідливий двійковий файл під назвою «pythonw.exe».

Компонент Python зловмисного програмного забезпечення під назвою «python.311.dll» (NitrogenStager) відповідає за встановлення зв’язку з хакерським сервером командування та керування (C2). Він також ініціює снаряд Meterpreter і Cobalt Strike Beacons на комп’ютері жертви.

У деяких випадках зловмисники виконують практичні дії після виконання сценарію Meterpreter на цільових системах. Вони використовують команди вручну для отримання додаткових ZIP-файлів і середовищ Python 3, необхідних для запуску Cobalt Strike у пам’яті, оскільки сам NitrogenStager не може виконувати сценарії Python. Ланцюжок зараження зловмисним програмним забезпеченням Nitrogen вказує на розміщення скомпрометованих пристроїв для розгортання кінцевих програм-вимагачів.