窒素マルウェア

研究者らは、「Nitrogen」として追跡している初期アクセス マルウェア キャンペーンを発見しました。サイバー犯罪者は、疑いを持たない被害者に感染させる手段として、Google や Bing の検索広告を利用して偽造ソフトウェア Web サイトを宣伝しています。これらのサイトにアクセスしたユーザーは、知らず知らずのうちに、脅威となるCobalt Strikeやランサムウェア ペイロードの展開の被害に遭います。

Nitrogen マルウェアの主な目的は、攻撃者に企業ネットワークへの最初のエントリ ポイントを与えることです。悪意のある攻撃者は、侵入すると、データ窃盗、サイバースパイ行為を実行できるようになり、最終的には破壊的なBlackCat/ALPHV ランサムウェアを解き放ちます。

窒素キャンペーンの綿密な分析により、その主なターゲットが主に北米にあるテクノロジー組織と非営利団体を網羅していることが明らかになりました。攻撃者は、AnyDesk、Cisco AnyConnect VPN、TreeSize Free、WinSCP などの評判の良いソフトウェア プロバイダーになりすましてこの計画を実行します。この欺瞞的な戦術により、ユーザーは本物のソフトウェアにアクセスしていると信じ込まされ、代わりに Nitrogen マルウェアの危険にさらされることになります。

このキャンペーンで Google と Bing の検索広告を使用することで、さらに洗練された層が追加され、攻撃者がより広範囲の潜在的な被害者にアプローチできるようになります。これらの人気のある検索エンジンを利用することで、攻撃者はユーザーを誘導して不正なソフトウェア リンクをクリックさせ、悪意のある感染プロセスを開始する可能性を高めます。

Nitrogen マルウェアは特定の地理的場所からの被害者をターゲットにします

Nitrogen Malware キャンペーンは、ユーザーが Google または Bing でさまざまな既知のソフトウェア アプリケーションを検索するときに始まります。このキャンペーンでおとりとして使用されたソフトウェアには、AnyDesk (リモート デスクトップ アプリケーション)、WinSCP (Windows 用 SFTP/FTP クライアント)、Cisco AnyConnect (VPN スイート)、および TreeSize Free (ディスク領域の計算および管理) があります。ソフトウェア ルアーの選択は、攻撃者のターゲット基準に基づいて行われます。

ユーザーがこれらのソフトウェア アプリケーションのいずれかを検索すると、それぞれの検索エンジンは、正確なソフトウェア製品を宣伝するように見える広告を表示します。ユーザーは意図せずして、目的のソフトウェアをダウンロードしようとして、これらの一見正当な広告をクリックしてしまう可能性があります。

ただし、リンクは訪問者を本物の Web サイトに到達させるのではなく、侵害された WordPress ホスティング ページにリダイレクトします。これらのページは、問題の特定のアプリケーションの公式ダウンロード サイトの外観を模倣するように巧みに設計されています。

ただし、誰もが安全でない Web サイトに誘導されるわけではありません。特定の地理的地域からの訪問者のみが選択的にフィッシング サイトにリダイレクトされ、選択した地域から潜在的な被害者をおびき寄せる可能性が高くなります。誰かが広告を介してリンクを開くのではなく、直接リンクを開いてそのページにアクセスしようとすると、リック・アストリーの名曲「Never Gonna Give You Up」の YouTube ビデオにリダイレクトされます。この動作はリックローリングとして知られています。

Nitrogen マルウェアは、侵害されたデバイスにランサムウェアを配信するために使用された可能性があります

偽サイトから配信される脅威となるソフトウェアは、「install.exe」という名前のトロイの木馬化された ISO インストーラーの形式で提供され、破損した DLL ファイル「msi.dll」（NitrogenInstaller）を運び、サイドロードします。これは、Nitrogen Malware のインストーラーとして機能します。また、被害者からの疑惑を避けるための約束申請も設定している。このマルウェアは、5 分間隔で実行され、「pythonw.exe」という名前の悪意のあるバイナリを指す「Python」レジストリ実行キーを作成することによって永続化メカニズムを確立します。

「python.311.dll」（NitrogenStager）と呼ばれるマルウェアの Python コンポーネントは、ハッカーのコマンド アンド コントロール サーバー（C2）との通信の確立を担当します。また、被害者のコンピュータ上でMeterpreterシェルと Cobalt Strike Beacon を開始します。

場合によっては、標的のシステム上で Meterpreter スクリプトが実行されると、攻撃者は実践的なアクションを実行します。 NitrogenStager 自体は Python スクリプトを実行できないため、手動コマンドを使用して追加の ZIP ファイルと Python 3 環境を取得します。これらはメモリ内で Cobalt Strike を実行するために必要です。 Nitrogen マルウェアの感染チェーンは、最終的なランサムウェア ペイロードの展開のために侵害されたデバイスをステージングすることを示しています。