Търсене
Close this search box.

Nitrogen се разпространява чрез реклами в Google за атаки с рансъмуер

Нова кампания за първоначален достъп до зловреден софтуер „Nitrogen“ използва реклами за търсене в Google и Bing, за да популяризира сайтове с фалшив софтуер, които заразяват нищо неподозиращите потребители с полезен товар от Cobalt Strike и ransomware.

Целта на зловредния софтуер „Nitrogen“ е да осигури на  заплахата първоначален достъп до корпоративните мрежи, което да им позволи да извършват кражба на данни, кибершпионаж и в крайна сметка да разгърнат рансъмуера BlackCat/ALPHV.

Днес Sophos публикува доклад за кампанията Nitrogen, в който подробно се описва как тя е насочена предимно към технологични организации и организации с нестопанска цел в Северна Америка, като се представя за популярен софтуер като AnyDesk, Cisco AnyConnect VPN, TreeSize Free и WinSCP.

Компанията Trend Micro първа документира тази дейност в началото на месеца, като видя реклами на WinSCP, водещи до заразяване с рансъмуер BlackCat/ALPHV в мрежата на жертвата.

Този доклад обаче беше фокусиран върху етапа след заразяването и не съдържаше обширни IoC (Indicators of Compromise) поради това, че се основаваше на един инцидент.

Кампанията за зловреден софтуер Nitrogen

Кампанията за зловреден софтуер Nitrogen започва с търсене в Google или Bing на различни популярни софтуерни приложения.

Софтуерът, използван като примамка за кампанията за зловреден софтуер Nitrogen, включва:

  • AnyDesk (приложение за отдалечен работен плот)
  • WinSCP (SFTP/FTP клиент за Windows)
  • Cisco AnyConnect (VPN пакет)
  • TreeSize Free (калкулатор и мениджър на дисковото пространство)

В зависимост от критериите за насочване търсачката ще покаже реклама, която популяризира търсения софтуер.

Щракването върху връзката води посетителя до компрометирани WordPress хостинг страници, които имитират легитимните сайтове за изтегляне на софтуер за конкретното приложение.

Само посетителите от определени географски региони се пренасочват към фишинг сайтовете, докато директните попадения върху злонамерените URL адреси предизвикват вместо това пренасочване към видеоклипове в YouTube.

От тези фалшиви сайтове потребителите изтеглят троянски ISO инсталатори („install.exe“), които съдържат и зареждат настрани злонамерен DLL файл („msi.dll“).

Msi.dll е инсталаторът за зловредния софтуер за първоначален достъп Nitrogen, наречен вътрешно „NitrogenInstaller“, който допълнително инсталира обещаното приложение, за да избегне подозрения, и зловреден пакет Python.

 

NitrogenInstaller също така създава ключ за стартиране в регистъра с име „Python“, който сочи към зловреден двоичен файл („pythonw.exe“), който се стартира на всеки пет минути.

 

 

Компонентът Python ще изпълни „NitrogenStager“ („python.311.dll“), който отговаря за установяването на комуникация с C2 на заплахата и стартирането на обвивка на Meterpreter и Cobalt Strike Beacons в системата на жертвата.

В някои случаи, наблюдавани от анализаторите на Sophos, нападателите преминават към практическа дейност, след като скриптът Meterpreter е изпълнен на целевата система, като изпълняват ръчни команди за извличане на допълнителни ZIP файлове и среди на Python 3.

Последната е необходима за изпълнението на Cobalt Strike в паметта, тъй като NitrogenStager не може да изпълнява Python скриптове.

 

Sophos твърди, че благодарение на успешното откриване и спиране на наблюдаваните атаки с Nitrogen не е определила целта на заплахата, но веригата на заразяване сочи, че компрометираните системи се използват за разгръщане на ransomware.

Преди това обаче Trend Micro съобщи, че тази верига на атака е довела до внедряване на рансъмуер BlackCat поне в един случай.

Тази кампания не е първият случай, в който бандите за рансъмуер злоупотребяват с реклами в търсачките, за да получат първоначален достъп до корпоративни мрежи, като в миналото тази тактика са използвали както операциите за рансъмуер Royal, така и Clop.

На потребителите се препоръчва да избягват да кликат върху „промотираните“ резултати в търсачките, когато изтеглят софтуер, а вместо това да изтеглят само от официалния сайт на разработчика.

Също така, внимавайте с всички изтегляния, използващи ISO файлове за софтуер, тъй като това е необичаен метод за разпространение на легитимен софтуер за Windows, който обикновено идва като .exe или .zip архив.

Инфограми и базова информация: Sophos

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
26/02/2024

Малави спря издаването на п...

Съобщава се, че правителството на Малави...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!