Azoto kenkėjiška programa plinta per kenkėjiškus skelbimus

Įsilaužėliai sukūrė gudrų planą, pavadintą „Azotu“, kaip sugauti IT specialistus naudojant netikrą reklamą, dar vadinamą „netinkama reklama“, rodoma populiariose paieškos sistemose. Šie kenkėjiški skelbimai sukurti tam, kad nieko neįtariančius IT ekspertus nukreiptų į pažeistas svetaines ir sukčiavimo puslapius, kurie imituoja teisėtus plačiai naudojamos programinės įrangos, pvz., AnyDesk, Cisco AnyConnect, TreeSize Free ir WinSCP, atsisiuntimo portalus.

Kai IT specialistai spustelėja šiuos skelbimus, jie nesąmoningai atsisiunčia numatytą programinę įrangą kartu su paslėptu Python paketu, kuriame yra pradinės prieigos kenkėjiška programa. Tai leidžia įsilaužėliams vėliau pradėti rimtesnes ransomware atakas. Kampaniją nustatė Sophos mokslininkai, kurie stebėjo jos buvimą įvairiose technologijų įmonėse ir ne pelno organizacijose visoje Šiaurės Amerikoje. Nors kol kas nepranešta apie sėkmingus išpuolius, mokslininkai perspėja, kad pastaraisiais mėnesiais panašioms kenkėjiškoms pastangoms buvo pasirinkti keli prekių ženklai.

„Sophos X-Ops“ direktoriaus Christopherio Buddo teigimu, įsilaužėlių pasirinkimas tiesiogiai nukreipti IT specialistus yra strateginis žingsnis. Sutelkdami dėmesį į tuos, kurie valdo jautriausias organizacijos sistemas, užpuolikai padidina savo efektyvumą ir efektyvumą įsiskverbdami į įmonės tinklą.

Kai IT profesionalas patenka į spąstus, jis gali patekti į sukčiavimo puslapį, kuris įtikinamai imituoja autentišką norimos programinės įrangos atsisiuntimo puslapį. Pavyzdžiui, tokia nuoroda kaip „winsccp[.]com“ su papildomu „c“, subtiliai įterptu siekiant apgauti lankytojus. Kai kuriais atvejais naudojamos pažeistos „Wordpress“ svetainės, kurios suteikia teisėtumo vaizdą, kai pristatoma kenkėjiška programinė įranga.

Azotas yra Trojanizuotame ISO

Spustelėjus mygtuką „Atsisiųsti“, įdiegiama trojanizuota ISO diegimo programa, kurioje yra kenkėjiškos dinaminės nuorodos bibliotekos (DLL) failas. Nors šiame DLL yra norima programinė įranga, jame taip pat yra pradinės prieigos kenkėjiška programa. Vėliau įsilaužėliai užmezga ryšį su savo komandų ir valdymo infrastruktūra, užkrėstame kompiuteryje įdiegdami apvalkalą ir Cobalt Strike Beacon. Tai leidžia jiems išlaikyti atkaklumą ir vykdyti nuotolines komandas.

Nepaisant rizikos, kai taikosi į techniškai patyrusius IT specialistus, įsilaužėliai mano, kad galimas atlygis vertas. Kadangi IT darbuotojai yra arti jautrių sistemų įmonės tinkle, užpuolikai mano, kad jų pastangos atsipirks, net jei pataikymo dažnis yra palyginti mažas.

Nors konkretūs užpuolikų ketinimai tebėra neaiškūs, panašios kampanijos praeityje sukeldavo išpirkos reikalaujančių programų atakas, pavyzdžiui, BlackCat išpirkos reikalaujančios programinės įrangos diegimas naudojant kenkėjišką prieigą. Atrodo, kad bendras tikslas yra įgyti kritinių sistemų kontrolę ir laikyti jas įkaitais siekiant finansinės naudos ar kitais kenkėjiškais tikslais.