Phần mềm độc hại nitơ
Các nhà nghiên cứu đã phát hiện ra một chiến dịch phần mềm độc hại truy cập ban đầu mà họ đang theo dõi là 'Nitơ'. Tội phạm mạng đã sử dụng quảng cáo tìm kiếm của Google và Bing để quảng bá các trang web phần mềm giả mạo như một cách để lây nhiễm cho những nạn nhân nhẹ dạ. Người dùng truy cập các trang web này vô tình trở thành nạn nhân của việc triển khai các tải trọng phần mềm tống tiền và Cobalt Strike đe dọa.
Mục tiêu cốt lõi đằng sau phần mềm độc hại Nitrogen là cấp cho các tác nhân đe dọa một điểm xâm nhập ban đầu vào mạng công ty. Sau khi xâm nhập, các tác nhân độc hại có khả năng thực hiện hành vi trộm cắp dữ liệu, tham gia vào hoạt động gián điệp mạng và cuối cùng giải phóng Phần mềm tống tiền BlackCat/ALPHV có sức hủy diệt .
Một phân tích chuyên sâu về chiến dịch Nitrogen đã tiết lộ các mục tiêu chính của nó, chủ yếu bao gồm các tổ chức công nghệ và phi lợi nhuận ở Bắc Mỹ. Những kẻ tấn công thực hiện kế hoạch của chúng bằng cách mạo danh các nhà cung cấp phần mềm có uy tín như AnyDesk, Cisco AnyConnect VPN, TreeSize Free và WinSCP. Chiến thuật lừa đảo này khiến người dùng tin rằng họ đang truy cập phần mềm chính hãng, thay vào đó lại tiếp xúc với những nguy cơ của phần mềm độc hại Nitrogen.
Việc sử dụng quảng cáo tìm kiếm của Google và Bing trong chiến dịch này bổ sung thêm một lớp tinh vi, cho phép những kẻ đe dọa tiếp cận được nhiều nạn nhân tiềm năng hơn. Bằng cách tận dụng các công cụ tìm kiếm phổ biến này, những kẻ tấn công tăng khả năng lôi kéo người dùng nhấp vào các liên kết phần mềm lừa đảo, do đó bắt đầu quá trình lây nhiễm độc hại.
Phần mềm độc hại Nitrogen nhắm mục tiêu nạn nhân từ các vị trí địa lý cụ thể
Chiến dịch Phần mềm độc hại Nitrogen bắt đầu khi người dùng tiến hành tìm kiếm Google hoặc Bing cho các ứng dụng phần mềm nổi tiếng khác nhau. Trong số các phần mềm được sử dụng làm mồi nhử trong chiến dịch này có AnyDesk (ứng dụng máy tính từ xa), WinSCP (ứng dụng khách SFTP/FTP cho Windows), Cisco AnyConnect (bộ VPN) và TreeSize Free (trình quản lý và tính toán dung lượng ổ đĩa). Việc lựa chọn mồi nhử phần mềm dựa trên tiêu chí nhắm mục tiêu của kẻ tấn công.
Khi người dùng tìm kiếm bất kỳ ứng dụng phần mềm nào trong số này, công cụ tìm kiếm tương ứng sẽ hiển thị quảng cáo xuất hiện để quảng bá sản phẩm phần mềm chính xác. Người dùng vô tình có thể nhấp vào những quảng cáo có vẻ hợp pháp này với hy vọng tải xuống phần mềm mong muốn.
Tuy nhiên, thay vì truy cập trang web chính hãng, liên kết lại chuyển hướng khách truy cập đến các trang lưu trữ WordPress bị xâm nhập. Các trang này được thiết kế khéo léo để bắt chước giao diện của các trang web tải xuống chính thức cho ứng dụng cụ thể được đề cập.
Tuy nhiên, không phải ai cũng bị đưa đến những trang web không an toàn. Chỉ những khách truy cập từ các khu vực địa lý cụ thể mới được chuyển hướng có chọn lọc đến các trang web lừa đảo, đảm bảo cơ hội thu hút nạn nhân tiềm năng cao hơn từ các khu vực đã chọn. Nếu bất kỳ ai cố gắng truy cập các trang bằng cách mở trực tiếp liên kết của họ thay vì được đưa đến đó thông qua quảng cáo, họ sẽ được chuyển hướng đến video YouTube về bài hát kinh điển 'Never Gonna Give You Up' của Rick Astley – một động thái được gọi là rick-roll.
Phần mềm độc hại Nitrogen có khả năng được sử dụng để cung cấp phần mềm tống tiền cho các thiết bị bị xâm nhập
Phần mềm đe dọa được phân phối từ các trang web giả mạo có dạng trình cài đặt ISO bị trojan hóa có tên 'install.exe' mang và sau đó tải xuống tệp DLL bị hỏng 'msi.dll' (NitrogenInstaller). Nó đóng vai trò là trình cài đặt cho Nitrogen Malware. Ngoài ra, nó còn lập đơn hứa hẹn để tránh gây nghi ngờ cho các nạn nhân. Phần mềm độc hại thiết lập một cơ chế bền bỉ bằng cách tạo khóa chạy sổ đăng ký 'Python' chạy trong khoảng thời gian năm phút và hướng tới tệp nhị phân độc hại có tên 'pythonw.exe.'
Thành phần Python của phần mềm độc hại, được gọi là 'python.311.dll' (NitrogenStager), chịu trách nhiệm thiết lập liên lạc với máy chủ Command-and-Control (C2) của tin tặc. Nó cũng khởi tạo một Meterpreter shell và Cobalt Strike Beacons trên máy tính của nạn nhân.
Trong một số trường hợp nhất định, những kẻ tấn công tham gia vào các hành động thực hành sau khi tập lệnh Meterpreter được thực thi trên các hệ thống được nhắm mục tiêu. Họ sử dụng các lệnh thủ công để truy xuất các tệp ZIP bổ sung và môi trường Python 3, cần thiết để chạy Cobalt Strike trong bộ nhớ, vì bản thân NitrogenStager không thể thực thi các tập lệnh Python. Chuỗi lây nhiễm của phần mềm độc hại Nitrogen chỉ ra việc dàn dựng các thiết bị bị xâm nhập để triển khai các tải trọng ransomware cuối cùng.
