新型氮恶意软件通过Google Ads推送用于勒索软件攻击
2023年5月26日,一种名为“氮”(Nitrogen)的初始访问恶意软件活动被发现,该活动使用Google和Bing搜索广告来推广虚假的软件站点,从而感染毫无戒备的用户,植入Cobalt Strike和勒索软件有效载荷。
氮恶意软件的目标:
为威胁行动者提供进入企业网络的初始访问权限。
从而进行数据盗窃、网络间谍活动。
最终部署名为BlackCat/ALPHV的勒索软件。
Sophos公司今日发布了有关氮活动的报告,详细介绍了它主要针对北美的技术和非营利组织,假冒流行软件如AnyDesk、Cisco AnyConnect VPN、TreeSize Free和WinSCP。eSentire公司首先在6月下旬记录了氮活动,而Trend Micro在本月初分析了WinSCP广告引发的BlackCat/ALPHV勒索软件感染活动。
氮恶意软件活动的流程:
用户在Google或Bing上搜索流行软件应用。搜索引擎将显示推广已搜索软件的广告。点击链接会将访客引导至受损的WordPress托管页面,模仿特定应用的合法软件下载站点。从那些假站点,用户下载了包含恶意DLL文件的木马化ISO安装程序。内部称为“NitrogenInstaller”的氮初始访问恶意软件的安装程序将安装承诺的应用以避免怀疑,并安装恶意Python包。Sophos表示,由于成功检测并阻止了观察到的氮攻击,尚未确定威胁行动者的目标,但感染链表明是为勒索软件部署进行筹备。不过,Trend Micro之前曾报告称,这一攻击链至少在一个情况下导致了BlackCat勒索软件的部署。这并非勒索软件团伙首次滥用搜索引擎广告以获得对企业网络的初始访问权,过去Royal和Clop勒索软件操作也曾使用过这一策略。
用户建议:
下载软件时避免点击搜索引擎中的“推广”结果,仅从开发者的官方网站下载。谨慎对待使用ISO文件的任何下载,因为这是分发合法Windows软件的不常见方法。
更新:
Google的发言人已向BleepingComputer发送声明:我们有严格的政策禁止分发恶意软件的广告。我们的团队在报告发布前就检测到了恶意软件活动,并迅速移除了违反我们政策的广告,并对谷歌代理商和广告商的帐户采取了适当措施。