Stickstoff-Malware

Forscher haben eine Initial-Access-Malware-Kampagne aufgedeckt, die sie als „Nitrogen“ verfolgen. Cyberkriminelle nutzen Suchanzeigen von Google und Bing, um Websites mit gefälschter Software zu bewerben und so ahnungslose Opfer zu infizieren. Benutzer, die diese Websites besuchen, werden unwissentlich Opfer der Bereitstellung der bedrohlichen Cobalt Strike- und Ransomware-Payloads.

Das Hauptziel der Nitrogen-Malware besteht darin, Bedrohungsakteuren einen ersten Einstiegspunkt in Unternehmensnetzwerke zu verschaffen. Einmal infiltriert, erlangen die böswilligen Akteure die Fähigkeit, Datendiebstahl zu begehen, Cyberspionage zu betreiben und schließlich die zerstörerische BlackCat/ALPHV-Ransomware freizusetzen.

Eine eingehende Analyse der Nitrogen-Kampagne hat ihre Hauptziele enthüllt, bei denen es sich überwiegend um Technologie- und gemeinnützige Organisationen mit Sitz in Nordamerika handelt. Die Angreifer führen ihren Plan aus, indem sie sich als seriöse Softwareanbieter wie AnyDesk, Cisco AnyConnect VPN, TreeSize Free und WinSCP ausgeben. Durch diese betrügerische Taktik wird den Benutzern vorgetäuscht, dass sie auf echte Software zugreifen, um stattdessen den Gefahren der Nitrogen-Malware ausgesetzt zu sein.

Der Einsatz von Google- und Bing-Suchanzeigen in dieser Kampagne sorgt für eine zusätzliche Raffinesse und ermöglicht es den Bedrohungsakteuren, einen breiteren Kreis potenzieller Opfer zu erreichen. Durch die Nutzung dieser beliebten Suchmaschinen erhöhen die Angreifer die Wahrscheinlichkeit, Benutzer zum Klicken auf die betrügerischen Software-Links zu verleiten und so den böswilligen Infektionsprozess einzuleiten.

Die Nitrogen-Malware zielt auf Opfer aus bestimmten geografischen Standorten ab

Die Nitrogen-Malware-Kampagne startet, wenn Benutzer eine Google- oder Bing-Suche nach verschiedenen bekannten Softwareanwendungen durchführen. Zu den in dieser Kampagne als Köder verwendeten Softwares gehören AnyDesk (eine Remote-Desktop-Anwendung), WinSCP (ein SFTP/FTP-Client für Windows), Cisco AnyConnect (eine VPN-Suite) und TreeSize Free (ein Speicherplatzrechner und -manager). Die Auswahl der Software-Köder richtet sich nach den Zielkriterien der Angreifer.

Wenn ein Benutzer nach einer dieser Softwareanwendungen sucht, zeigt die jeweilige Suchmaschine eine Werbung an, die scheinbar genau für das Softwareprodukt wirbt. Unbeabsichtigt klicken Benutzer möglicherweise auf diese scheinbar legitimen Anzeigen in der Hoffnung, die gewünschte Software herunterzuladen.

Anstatt jedoch die echte Website zu erreichen, leitet der Link Besucher auf kompromittierte WordPress-Hosting-Seiten weiter. Diese Seiten sind geschickt so gestaltet, dass sie das Erscheinungsbild der offiziellen Download-Sites für die jeweilige Anwendung nachahmen.

Allerdings wird nicht jeder auf unsichere Websites weitergeleitet. Nur Besucher aus bestimmten geografischen Regionen werden gezielt auf die Phishing-Seiten umgeleitet, wodurch die Chance erhöht wird, potenzielle Opfer aus den ausgewählten Gebieten anzulocken. Wenn jemand versucht, die Seiten zu erreichen, indem er direkt seinen Link öffnet, anstatt über eine Anzeige dorthin weitergeleitet zu werden, wird er zu einem YouTube-Video von Rick Astleys Klassiker „Never Gonna Give You Up“ weitergeleitet – ein Vorgang, der als Rick-Rolling bekannt ist.

Die Nitrogen-Malware wurde wahrscheinlich verwendet, um Ransomware auf kompromittierte Geräte zu übertragen

Die von den gefälschten Websites bereitgestellte bedrohliche Software besteht aus trojanisierten ISO-Installationsprogrammen mit dem Namen „install.exe“, die eine beschädigte DLL-Datei „msi.dll“ (NitrogenInstaller) enthalten und dann von der Seite laden. Es fungiert als Installationsprogramm für Nitrogen-Malware. Darüber hinaus wird auch die versprochene Anwendung eingerichtet, um bei den Opfern keinen Verdacht zu erregen. Die Malware richtet einen Persistenzmechanismus ein, indem sie einen „Python“-Registrierungsschlüssel erstellt, der in einem Intervall von fünf Minuten ausgeführt wird und auf eine bösartige Binärdatei namens „pythonw.exe“ verweist.

Die Python-Komponente der Malware mit dem Namen „python.311.dll“ (NitrogenStager) übernimmt den Aufbau der Kommunikation mit dem Command-and-Control-Server (C2) der Hacker. Es initiiert außerdem eine Meterpreter- Shell und Cobalt Strike Beacons auf dem Computer des Opfers.

In bestimmten Fällen führen die Angreifer praktische Aktionen durch, sobald das Meterpreter-Skript auf den Zielsystemen ausgeführt wird. Sie verwenden manuelle Befehle, um zusätzliche ZIP-Dateien und Python-3-Umgebungen abzurufen, die zum Ausführen von Cobalt Strike im Speicher erforderlich sind, da der NitrogenStager selbst keine Python-Skripte ausführen kann. Die Infektionskette der Nitrogen-Malware deutet darauf hin, dass die kompromittierten Geräte für die Bereitstellung endgültiger Ransomware-Payloads bereitgestellt werden.