Търсене
Close this search box.

Nitrogen се разпространява чрез реклами в Google за атаки с рансъмуер

Нова кампания за първоначален достъп до зловреден софтуер „Nitrogen“ използва реклами за търсене в Google и Bing, за да популяризира сайтове с фалшив софтуер, които заразяват нищо неподозиращите потребители с полезен товар от Cobalt Strike и ransomware.

Целта на зловредния софтуер „Nitrogen“ е да осигури на  заплахата първоначален достъп до корпоративните мрежи, което да им позволи да извършват кражба на данни, кибершпионаж и в крайна сметка да разгърнат рансъмуера BlackCat/ALPHV.

Днес Sophos публикува доклад за кампанията Nitrogen, в който подробно се описва как тя е насочена предимно към технологични организации и организации с нестопанска цел в Северна Америка, като се представя за популярен софтуер като AnyDesk, Cisco AnyConnect VPN, TreeSize Free и WinSCP.

Компанията Trend Micro първа документира тази дейност в началото на месеца, като видя реклами на WinSCP, водещи до заразяване с рансъмуер BlackCat/ALPHV в мрежата на жертвата.

Този доклад обаче беше фокусиран върху етапа след заразяването и не съдържаше обширни IoC (Indicators of Compromise) поради това, че се основаваше на един инцидент.

Кампанията за зловреден софтуер Nitrogen

Кампанията за зловреден софтуер Nitrogen започва с търсене в Google или Bing на различни популярни софтуерни приложения.

Софтуерът, използван като примамка за кампанията за зловреден софтуер Nitrogen, включва:

  • AnyDesk (приложение за отдалечен работен плот)
  • WinSCP (SFTP/FTP клиент за Windows)
  • Cisco AnyConnect (VPN пакет)
  • TreeSize Free (калкулатор и мениджър на дисковото пространство)

В зависимост от критериите за насочване търсачката ще покаже реклама, която популяризира търсения софтуер.

Щракването върху връзката води посетителя до компрометирани WordPress хостинг страници, които имитират легитимните сайтове за изтегляне на софтуер за конкретното приложение.

Само посетителите от определени географски региони се пренасочват към фишинг сайтовете, докато директните попадения върху злонамерените URL адреси предизвикват вместо това пренасочване към видеоклипове в YouTube.

От тези фалшиви сайтове потребителите изтеглят троянски ISO инсталатори („install.exe“), които съдържат и зареждат настрани злонамерен DLL файл („msi.dll“).

Msi.dll е инсталаторът за зловредния софтуер за първоначален достъп Nitrogen, наречен вътрешно „NitrogenInstaller“, който допълнително инсталира обещаното приложение, за да избегне подозрения, и зловреден пакет Python.

 

NitrogenInstaller също така създава ключ за стартиране в регистъра с име „Python“, който сочи към зловреден двоичен файл („pythonw.exe“), който се стартира на всеки пет минути.

 

 

Компонентът Python ще изпълни „NitrogenStager“ („python.311.dll“), който отговаря за установяването на комуникация с C2 на заплахата и стартирането на обвивка на Meterpreter и Cobalt Strike Beacons в системата на жертвата.

В някои случаи, наблюдавани от анализаторите на Sophos, нападателите преминават към практическа дейност, след като скриптът Meterpreter е изпълнен на целевата система, като изпълняват ръчни команди за извличане на допълнителни ZIP файлове и среди на Python 3.

Последната е необходима за изпълнението на Cobalt Strike в паметта, тъй като NitrogenStager не може да изпълнява Python скриптове.

 

Sophos твърди, че благодарение на успешното откриване и спиране на наблюдаваните атаки с Nitrogen не е определила целта на заплахата, но веригата на заразяване сочи, че компрометираните системи се използват за разгръщане на ransomware.

Преди това обаче Trend Micro съобщи, че тази верига на атака е довела до внедряване на рансъмуер BlackCat поне в един случай.

Тази кампания не е първият случай, в който бандите за рансъмуер злоупотребяват с реклами в търсачките, за да получат първоначален достъп до корпоративни мрежи, като в миналото тази тактика са използвали както операциите за рансъмуер Royal, така и Clop.

На потребителите се препоръчва да избягват да кликат върху „промотираните“ резултати в търсачките, когато изтеглят софтуер, а вместо това да изтеглят само от официалния сайт на разработчика.

Също така, внимавайте с всички изтегляния, използващи ISO файлове за софтуер, тъй като това е необичаен метод за разпространение на легитимен софтуер за Windows, който обикновено идва като .exe или .zip архив.

Инфограми и базова информация: Sophos

Източник: По материали от Интернет

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
Бъдете социални
Още по темата
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

300 000 души са засегнати о...

Avis Car Rental уведомява близо 300...
09/09/2024

Новата атака RAMBO краде да...

Нова атака по страничен канал, наречена...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!