I en ny cybertrussel har en ny "nitrogen"-kampagne, der udnytter initial adgang til malware, vedtaget Google og Bing-søgeannoncer som midler til at udbrede forfalskede softwareplatforme, hvilket resulterer i, at uvidende brugere bliver inficeret med Cobalt Strike og ransomware-nyttelast.
Det primære formål med Nitrogen-malwaren er at lette indledende adgang for ondsindede aktører til virksomhedsnetværk og derved muliggøre dataeksfiltrering, cyberspionage og den endelige implementering af BlackCat/ALPHV-ransomware.
Sophos rapport
For nylig afslørede Sophos en omfattende rapport, der beskriver nitrogenkampagnens forviklinger. Kampagnen fokuserer hovedsageligt på teknologi og non-profit enheder i hele Nordamerika. Disse enheder er målrettet gennem smart efterligning af udbredt software såsom AnyDesk, Cisco AnyConnect VPN, TreeSize Free og WinSCP.
Oprindeligt dokumenteret af eSentire i slutningen af juni, vakte Nitrogen-kampagnen opmærksomhed, efterfulgt af Trend Micros analyse af aktiviteter efter kompromis i begyndelsen af juli. Trend Micros rapport, som overvejende var centreret om post-infektionsfasen, udviste imidlertid begrænsninger med hensyn til kompromisindikatorer (IoCs) på grund af dens afhængighed af en enkelt reaktionshændelse.
Nitrogen malware-kampagnen begynder med brugere, der søger efter populære softwareapplikationer på Google eller Bing. De vildledende software lokker inkluderer:
- AnyDesk (en fjernskrivebordsapplikation)
- WinSCP (en SFTP/FTP-klient til Windows)
- Cisco AnyConnect (en VPN-pakke)
- TreeSize Free (et værktøj til beregning og administration af diskplads)
Baseret på specifikke målretningskriterier viser søgemaskiner annoncer, der støtter den ønskede software. Ved at klikke på disse links fører brugerne til kompromitterede WordPress-hostingsider, der efterligner autentiske softwaredownloadsider til den valgte applikation.
Youtube lokker dig på afveje
Selektive geografiske områder omdirigeres til phishing-websteder, hvorimod direkte klik på ondsindede webadresser udløser omdirigeringer til ikke-relaterede YouTube-videoer. Brugere downloader ubevidst manipulerede ISO-installationsprogrammer ("install.exe") fra disse falske websteder. Disse installatører huser og starter en ondsindet DLL-fil ("msi.dll").
Denne "msi.dll" fungerer som installationsprogrammet for det internt mærkede "NitrogenInstaller", der er ansvarlig for at installere det lovede program for at undgå mistanke og også for at sideindlæse en ondsindet Python-pakke. NitrogenInstaller etablerer persistens ved at oprette en registreringskørselsnøgle med navnet "Python", der peger på en ondsindet binær ("pythonw.exe"), der er indstillet til at køre hvert femte minut. Python-komponenten udfører "NitrogenStager" ("python.311.dll"), som letter kommunikationen med angribernes kommando-og-kontrol-server, og derved lancerer en Meterpreter-skal og Cobalt Strike Beacons på det kompromitterede system.
I udvalgte tilfælde, der blev set af Sophos-analytikere, engagerede overfaldsmænd sig i manuel aktivitet, når Meterpreter-scriptet blev udført på målsystemet. De udførte manuelle kommandoer for at skaffe supplerende ZIP-filer og Python 3-miljøer. Sidstnævnte viste sig at være afgørende for at udføre Cobalt Strike i hukommelsen, da NitrogenStager manglede evnen til at køre Python-scripts.
Angrebskæde fører til ransomware
Sophos, der effektivt har opsnappet og standset observerede nitrogenangreb, har endnu ikke fastslået trusselsaktørernes endelige mål. Trend Micros tidligere rapport skitserede dog, at denne angrebskæde førte til implementeringen af BlackCat ransomware mindst én gang.
Denne kampagne er ikke det første tilfælde, hvor ransomware-grupper har udnyttet søgemaskineannoncer til at initiere adgang til virksomhedens netværk. Tidligere hændelser omfatter Royal og Clop ransomware operationer, der har vedtaget lignende taktikker.
For at mindske risici rådes brugere kraftigt til at afstå fra at klikke på "promoverede" resultater, mens de downloader software via søgemaskiner. I stedet anbefales det udelukkende at downloade fra officielle udviklerwebsteder. Desuden er det afgørende at udvise forsigtighed med downloads, der anvender ISO-filer til software, da dette er en ukonventionel metode til legitim Windows-softwaredistribution. Sådan software er typisk tilgængelig i .exe- eller .zip-formater.