氮恶意软件通过恶意广告传播

黑客设计了一个名为“Nitrogen”的狡猾计划，利用流行搜索引擎上出现的虚假广告（也称为“恶意广告”）来诱骗 IT 专业人员。这些恶意广告旨在引导毫无戒心的 IT 专家访问受感染的网站和网络钓鱼页面，这些网站和网络钓鱼页面模仿广泛使用的软件（如 AnyDesk、Cisco AnyConnect、TreeSize Free 和 WinSCP）的合法下载门户。

当 IT 专业人员点击这些广告时，他们会无意中下载所需的软件以及包含初始访问恶意软件的隐藏 Python 包。这使得黑客可以在以后发起更严重的勒索软件攻击。 Sophos 的研究人员发现了该活动，他们观察到该活动在北美各地的多家科技公司和非营利组织中的存在。尽管尚未报告成功的攻击，但研究人员警告说，近几个月来多个品牌已被利用进行类似的恶意广告活动。

Sophos X-Ops 总监 Christopher Budd 表示，黑客选择直接针对 IT 专业人员是一项战略举措。通过专注于管理组织最敏感系统的人员，攻击者提高了渗透企业网络的效率和有效性。

一旦 IT 专业人员落入陷阱，他们最终可能会进入一个钓鱼页面，该页面令人信服地模仿他们所需软件的真实下载页面。例如，像“winsccp[.]com”这样的链接巧妙地插入了一个额外的“c”来欺骗访问者。在某些情况下，会使用受感染的 WordPress 网站，在提供充满恶意软件的同时提供合法的外观。

Nitrogen 出现在特洛伊木马 ISO 中

单击“下载”按钮后，就会部署木马 ISO 安装程序，其中包含恶意动态链接库 (DLL) 文件。虽然此 DLL 确实包含所需的软件，但它也包含初始访问恶意软件。随后，黑客建立与其命令和控制基础设施的连接，在受感染的计算机上部署 shell 和 Cobalt Strike Beacon。这使他们能够保持持久性并执行远程命令。

尽管针对技术熟练的 IT 专业人员存在风险，但黑客认为潜在的回报是值得的。由于 IT 人员非常接近企业网络内的敏感系统，因此攻击者相信他们的努力会得到回报，即使命中率相对较低。

虽然攻击者的具体意图尚不清楚，但过去类似的活动已经导致了勒索软件攻击，例如通过支持恶意广告的访问部署 BlackCat 勒索软件。总体目标似乎是获得对关键系统的控制权，并将其作为人质以获取经济利益或其他恶意目的。