氮惡意軟件通過惡意廣告傳播

黑客設計了一個名為“Nitrogen”的狡猾計劃，利用流行搜索引擎上出現的虛假廣告（也稱為“惡意廣告”）來誘騙 IT 專業人員。這些惡意廣告旨在引導毫無戒心的 IT 專家訪問受感染的網站和網絡釣魚頁面，這些網站和網絡釣魚頁面模仿廣泛使用的軟件（如 AnyDesk、Cisco AnyConnect、TreeSize Free 和 WinSCP）的合法下載門戶。

當 IT 專業人員點擊這些廣告時，他們會無意中下載所需的軟件以及包含初始訪問惡意軟件的隱藏 Python 包。這使得黑客可以在以後發起更嚴重的勒索軟件攻擊。 Sophos 的研究人員發現了該活動，他們觀察到該活動在北美各地的多家科技公司和非營利組織中的存在。儘管尚未報告成功的攻擊，但研究人員警告說，近幾個月來多個品牌已被利用進行類似的惡意廣告活動。

Sophos X-Ops 總監 Christopher Budd 表示，黑客選擇直接針對 IT 專業人員是一項戰略舉措。通過專注於管理組織最敏感系統的人員，攻擊者提高了滲透企業網絡的效率和有效性。

一旦 IT 專業人員落入陷阱，他們最終可能會進入一個釣魚頁面，該頁面令人信服地模仿他們所需軟件的真實下載頁面。例如，像“winsccp[.]com”這樣的鏈接巧妙地插入了一個額外的“c”來欺騙訪問者。在某些情況下，會使用受感染的 WordPress 網站，在提供充滿惡意軟件的同時提供合法的外觀。

Nitrogen 出現在特洛伊木馬 ISO 中

單擊“下載”按鈕後，就會部署木馬 ISO 安裝程序，其中包含惡意動態鏈接庫 (DLL) 文件。雖然此 DLL 確實包含所需的軟件，但它也包含初始訪問惡意軟件。隨後，黑客建立與其命令和控制基礎設施的連接，在受感染的計算機上部署 shell 和 Cobalt Strike Beacon。這使他們能夠保持持久性並執行遠程命令。

儘管針對技術熟練的 IT 專業人員存在風險，但黑客認為潛在的回報是值得的。由於 IT 人員非常接近企業網絡內的敏感系統，因此攻擊者相信他們的努力會得到回報，即使命中率相對較低。

雖然攻擊者的具體意圖尚不清楚，但過去類似的活動已經導致了勒索軟件攻擊，例如通過支持惡意廣告的訪問部署 BlackCat 勒索軟件。總體目標似乎是獲得對關鍵系統的控制權，並將其作為人質以獲取經濟利益或其他惡意目的。