Nitrogen マルウェアは悪意のある広告を通じて拡散

ハッカーたちは、人気の検索エンジンに表示される「マルバタイズメント」としても知られる偽の広告を利用して IT プロフェッショナルを罠にはめる「窒素」と呼ばれる狡猾な計画を考案しました。これらの悪意のある広告は、疑うことを知らない IT 専門家を、AnyDesk、Cisco AnyConnect、TreeSize Free、WinSCP などの広く使用されているソフトウェアの正規のダウンロード ポータルを模倣した侵害された Web サイトやフィッシング ページに誘導するように設計されています。

IT プロフェッショナルがこれらの広告をクリックすると、意図せずして、初期アクセス マルウェアを含む隠された Python パッケージとともに目的のソフトウェアがダウンロードされてしまいます。これにより、ハッカーは後でより深刻なランサムウェア攻撃を仕掛けることができます。このキャンペーンは、北米各地のさまざまなテクノロジー企業や非営利団体でその存在を観察したソフォスの研究者によって特定されました。攻撃の成功はまだ報告されていないが、ここ数カ月で複数のブランドが同様のマルバタイジング活動に利用されていると研究者らは警告している。

ソフォス X-Ops ディレクターのクリストファー・バッド氏によると、IT プロフェッショナルを直接標的にするというハッカーの選択は戦略的な動きです。攻撃者は、組織の最も機密性の高いシステムを管理する担当者に焦点を当てることで、企業ネットワークへの侵入の効率と有効性を高めます。

IT プロフェッショナルが罠に陥ると、目的のソフトウェアの正規のダウンロード ページをまねたフィッシング ページにたどり着いてしまう可能性があります。たとえば、「winsccp[.]com」のようなリンクに「c」が追加され、訪問者を欺くことができます。場合によっては、侵害された WordPress サイトが使用され、マルウェアを満載したソフトウェアを配信しながら正当であるかのように見せかけます。

窒素はトロイの木馬化された ISO で提供されます

「ダウンロード」ボタンをクリックすると、悪意のあるダイナミック リンク ライブラリ (DLL) ファイルを含むトロイの木馬化された ISO インストーラーが展開されます。この DLL には目的のソフトウェアが含まれていますが、初期アクセス マルウェアも含まれています。その後、ハッカーは指揮統制インフラストラクチャへの接続を確立し、感染したコンピュータにシェルと Cobalt Strike Beacon を展開します。これにより、永続性を維持し、リモート コマンドを実行できるようになります。

技術的に熟練した IT プロフェッショナルをターゲットにするリスクにもかかわらず、ハッカーたちは潜在的な報酬に価値があると考えています。 IT 担当者は企業ネットワーク内の機密システムに近接しているため、たとえヒット率が比較的低くても、攻撃者は自分たちの努力が報われると信じています。

攻撃者の具体的な意図は不明ですが、マルバタイジング対応アクセスを介した BlackCat ランサムウェアの展開など、過去にも同様のキャンペーンがランサムウェア攻撃につながっています。全体的な目標は、重要なシステムを制御し、金銭的利益やその他の悪意のある目的のために人質に取ることであると思われます。