Нова кампания за първоначален достъп до зловреден софтуер „Nitrogen“ използва реклами за търсене в Google и Bing, за да популяризира сайтове с фалшив софтуер, които заразяват нищо неподозиращите потребители с полезен товар от Cobalt Strike и ransomware.
Целта на зловредния софтуер „Nitrogen“ е да осигури на заплахата първоначален достъп до корпоративните мрежи, което да им позволи да извършват кражба на данни, кибершпионаж и в крайна сметка да разгърнат рансъмуера BlackCat/ALPHV.
Днес Sophos публикува доклад за кампанията Nitrogen, в който подробно се описва как тя е насочена предимно към технологични организации и организации с нестопанска цел в Северна Америка, като се представя за популярен софтуер като AnyDesk, Cisco AnyConnect VPN, TreeSize Free и WinSCP.
Компанията Trend Micro първа документира тази дейност в началото на месеца, като видя реклами на WinSCP, водещи до заразяване с рансъмуер BlackCat/ALPHV в мрежата на жертвата.
Този доклад обаче беше фокусиран върху етапа след заразяването и не съдържаше обширни IoC (Indicators of Compromise) поради това, че се основаваше на един инцидент.
Кампанията за зловреден софтуер Nitrogen започва с търсене в Google или Bing на различни популярни софтуерни приложения.
Софтуерът, използван като примамка за кампанията за зловреден софтуер Nitrogen, включва:
В зависимост от критериите за насочване търсачката ще покаже реклама, която популяризира търсения софтуер.
Щракването върху връзката води посетителя до компрометирани WordPress хостинг страници, които имитират легитимните сайтове за изтегляне на софтуер за конкретното приложение.
Само посетителите от определени географски региони се пренасочват към фишинг сайтовете, докато директните попадения върху злонамерените URL адреси предизвикват вместо това пренасочване към видеоклипове в YouTube.
От тези фалшиви сайтове потребителите изтеглят троянски ISO инсталатори („install.exe“), които съдържат и зареждат настрани злонамерен DLL файл („msi.dll“).
Msi.dll е инсталаторът за зловредния софтуер за първоначален достъп Nitrogen, наречен вътрешно „NitrogenInstaller“, който допълнително инсталира обещаното приложение, за да избегне подозрения, и зловреден пакет Python.
NitrogenInstaller също така създава ключ за стартиране в регистъра с име „Python“, който сочи към зловреден двоичен файл („pythonw.exe“), който се стартира на всеки пет минути.
Компонентът Python ще изпълни „NitrogenStager“ („python.311.dll“), който отговаря за установяването на комуникация с C2 на заплахата и стартирането на обвивка на Meterpreter и Cobalt Strike Beacons в системата на жертвата.
В някои случаи, наблюдавани от анализаторите на Sophos, нападателите преминават към практическа дейност, след като скриптът Meterpreter е изпълнен на целевата система, като изпълняват ръчни команди за извличане на допълнителни ZIP файлове и среди на Python 3.
Последната е необходима за изпълнението на Cobalt Strike в паметта, тъй като NitrogenStager не може да изпълнява Python скриптове.
Sophos твърди, че благодарение на успешното откриване и спиране на наблюдаваните атаки с Nitrogen не е определила целта на заплахата, но веригата на заразяване сочи, че компрометираните системи се използват за разгръщане на ransomware.
Преди това обаче Trend Micro съобщи, че тази верига на атака е довела до внедряване на рансъмуер BlackCat поне в един случай.
Тази кампания не е първият случай, в който бандите за рансъмуер злоупотребяват с реклами в търсачките, за да получат първоначален достъп до корпоративни мрежи, като в миналото тази тактика са използвали както операциите за рансъмуер Royal, така и Clop.
На потребителите се препоръчва да избягват да кликат върху „промотираните“ резултати в търсачките, когато изтеглят софтуер, а вместо това да изтеглят само от официалния сайт на разработчика.
Също така, внимавайте с всички изтегляния, използващи ISO файлове за софтуер, тъй като това е необичаен метод за разпространение на легитимен софтуер за Windows, който обикновено идва като .exe или .zip архив.
Инфограми и базова информация: Sophos
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.