Grupa za ransomware Nitrogen prvi put je otkrivena u septembru 2024. godine i u početku je ciljala organizacije u Sjedinjenim Državama i Kanadi prije nego što je proširila poslovanje na dijelove Afrike i Evrope.
Iako ransomware.live trenutno prijavljuje 21 poznatu žrtvu, sigurnosni istraživači vjeruju da mnoge kompromitovane organizacije ostaju nenavedene na javnom blogu Nitrogena.
Značajno je da su indikatori ove porodice malicioznog softvera uočeni već 2023. godine, što ukazuje na moguće veze s ranijim kampanjama ransomwarea.
Hakeri su demonstrirali sofisticirane taktike, koristeći ciljane kampanje malicioznog oglašavanja koje uključuju maliciozni kod unutar naizgled legitimnih preuzimanja softvera.
Ovi obmanjujući paketi se maskiraju kao popularni uslužni programi kao što su Advanced IP Scanner, FileZilla i WinSCP, stvarajući uvjerljivu fasadu za ništa ne sluteće korisnike koji traže legitimni softver .
Analitičari Nextrona identifikovali su ovu prijetnju tokom nedavne istrage u kojoj su otkrili kompletan lanac napada, od početnog kompromitovanja do lateralnog kretanja i konačnih pokušaja brisanja logova.
Njihova forenzička analiza otkrila je kako su napadači iskoristili Cobalt Strike beacone za mrežnu perzistenciju i uspostavili pivot sisteme kako bi olakšali kretanje između kompromitovanih hostova.
U uočenom napadu, korisnik koji je tražio „WinSCP preuzimanje“ koristeći Microsoft Edge kliknuo je na sumnjivu reklamu prikazanu putem Binga.
Oglas je preusmjeravao žrtvu sa obmanjujućeg domena (ftp-winscp.org) na kompromitovanu WordPress stranicu koja je hostovala malicioznu WinSCP ZIP datoteku, uspostavljajući početnu potporu u mreži organizacije.
Mehanizam infekcije putem bočnog učitavanja DLL-a
Tehnička sofisticiranost napada postaje očigledna prilikom ispitivanja mehanizma infekcije.
Maliciozna ZIP arhiva (WinsCP-6.3.6-Setup.zip sa SHA-256: fa3eca4d53a1b7c4cfcd14f642ed5f8a8a864f56a8a47acbf5cf11a6c5d2afa2) sadržavala je nekoliko datoteka: malicioznu datoteku python312.dll, tri legitimne DLL datoteke i preimenovanu datoteku python.exe označenu kao setup.exe.
Prilikom izvršavanja, proces instalacije je koristio bočno učitavanje DLL-a – tehniku u kojoj se Windowsov redoslijed pretrage DLL-ova iskorištava za učitavanje maliciozne biblioteke prije pronalaska legitimne.
Proces setup.exe je učitavao maliciozni python312.dll iz trenutnog direktorija dok je instalirao legitimnu WinSCP aplikaciju u prvom planu, efektivno maskirajući infekciju.
.webp)
Maliciozni DLL, nazvan “NitrogenLoader”, oponašao je autentični Python DLL implementirajući iste izvoze i ordinale, uključujući izvoz Py_Main na koji se poziva u tabeli uvoza setup.exe.
Međutim, njegova maliciozna funkcionalnost nalazila se u izvozu DllMain datoteke, gdje je zapakovana logika povratnog povezivanja uspostavljala komunikaciju s napadačevom komandnom i kontrolnom infrastrukturom.
Jednom kada su ušli u mrežu, napadači su postavili Cobalt Strike beacone na više sistema.
Analiza izvještaja o greškama u sistemu Windows (WER) otkrila je detaljne konfiguracije Cobalt Strike-a, uključujući informacije o timskom serveru i strukture HTTP odgovora.
Hakeri su takođe pokušali prikriti svoje prisustvo brisanjem kritičnih zapisnika događaja sistema Windows, uključujući zapisnike sigurnosti i PowerShella.
#!/usr/bin/env python3
def main():
str_input = ["@%windir%\syswow64\gpupdate.exe"]
for string in str_input:
for key in range(256): # 0x00 through 0xFF
xored_bytes = [ord(ch) ^ key for ch in string] # XOR encoding
xored_hex = "".join(f"{byte:02x}" for byte in xored_bytes)Izvor: CyberSecurityNews
