氮恶意软件

研究人员发现了一种初始访问恶意软件活动，他们将其追踪为“氮”。网络犯罪分子一直在利用 Google 和 Bing 搜索广告来宣传假冒软件网站，以此来感染毫无戒心的受害者。访问这些网站的用户在不知情的情况下成为威胁性Cobalt Strike和勒索软件负载部署的受害者。

Nitrogen 恶意软件背后的核心目标是为威胁行为者提供进入企业网络的初始入口点。一旦渗透，恶意行为者就能够窃取数据、从事网络间谍活动，并最终释放破坏性的BlackCat/ALPHV 勒索软件。

对氮运动的深入分析揭示了其主要目标，主要包括位于北美的技术和非营利组织。攻击者通过冒充 AnyDesk、Cisco AnyConnect VPN、TreeSize Free 和 WinSCP 等信誉良好的软件提供商来执行他们的计划。这种欺骗性策略让用户相信他们正在访问正版软件，结果却暴露在 Nitrogen 恶意软件的危险之下。

在此活动中使用 Google 和 Bing 搜索广告增加了额外的复杂性，使威胁行为者能够接触到更广泛的潜在受害者。通过利用这些流行的搜索引擎，攻击者增加了诱使用户点击欺诈软件链接的可能性，从而启动恶意感染过程。

氮恶意软件针对特定地理位置的受害者

当用户通过 Google 或 Bing 搜索各种知名软件应用程序时，氮恶意软件活动就会开始。此活动中用作诱饵的软件包括 AnyDesk（远程桌面应用程序）、WinSCP（适用于 Windows 的 SFTP/FTP 客户端）、Cisco AnyConnect（VPN 套件）和 TreeSize Free（磁盘空间计算器和管理器）。软件诱饵的选择基于攻击者的目标标准。

当用户搜索这些软件应用程序中的任何一个时，相应的搜索引擎会显示似乎推销确切软件产品的广告。用户可能会在不知不觉中点击这些看似合法的广告，希望下载所需的软件。

然而，该链接并没有到达真正的网站，而是将访问者重定向到受感染的 WordPress 托管页面。这些页面经过精心设计，模仿相关特定应用程序的官方下载网站的外观。

然而，并不是每个人都会访问不安全的网站。只有来自特定地理区域的访问者才会被选择性地重定向到网络钓鱼站点，从而确保更有可能从所选区域吸引潜在受害者。如果有人试图通过直接打开链接而不是通过广告进入这些页面，他们将被重定向到 Rick Astley 的经典歌曲“Never Gonna Give You Up”的 YouTube 视频，这一举动被称为 rick-rolling。

氮恶意软件可能被用来向受感染的设备发送勒索软件

从虚假网站传播的威胁软件以名为“install.exe”的木马 ISO 安装程序的形式出现，该安装程序携带并旁加载损坏的 DLL 文件“msi.dll”（NitrogenInstaller）。它充当氮恶意软件的安装程序。此外，它还设置了承诺的应用程序，以避免引起受害者的怀疑。该恶意软件通过创建“Python”注册表运行键来建立持久性机制，该运行键每隔五分钟运行一次，并指向名为“pythonw.exe”的恶意二进制文件。

该恶意软件的 Python 组件称为“python.311.dll”(NitrogenStager)，负责与黑客的命令和控制服务器 (C2) 建立通信。它还会在受害者的计算机上启动Meterpreter shell 和 Cobalt Strike Beacons。

在某些情况下，一旦 Meterpreter 脚本在目标系统上执行，攻击者就会进行实际操作。他们使用手动命令来检索额外的 ZIP 文件和 Python 3 环境，这是在内存中运行 Cobalt Strike 所必需的，因为 NitrogenStager 本身无法执行 Python 脚本。 Nitrogen 恶意软件的感染链指向受感染的设备，以部署最终的勒索软件有效负载。