恶意广告活动
观察到一起新的恶意广告活动,利用Google搜索和Bing广告来针对寻求AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户,并诱使他们下载携带特洛伊木马的安装程序,以便入侵企业网络并可能进行未来的勒索软件攻击。该活动被称为“氮气”,是一种“机会主义”行为,旨在部署Cobalt Strike等第二阶段攻击工具,Sophos在周三的分析中称。氮气首次由eSentire在2023年6月记录,详细介绍了一种感染链,将用户重定向到托管恶意ISO镜像文件的受感染WordPress站点,最终导致在目标系统上交付Python脚本和Cobalt Strike Beacons。然后在本月早些时候,趋势微观发现了类似的攻击序列,其中一个欺诈WinSCP应用程序成为BlackCat勒索软件攻击的跳板。“在整个感染链中,威胁行为者使用不常见的导出转发和DLL预加载技术来掩盖其恶意活动并阻碍分析,”Sophos研究员Gabor Szappanos、Morgan Demboski和Benjamin Sollman说。
一旦启动Python脚本,将建立一个Meterpreter反向TCP shell,从而允许威胁行为者在受感染主机上远程执行代码,并下载Cobalt Strike Beacon以便进行后期利用。“滥用点击付费广告在搜索引擎结果中显示的做法在威胁行为者中变得流行,”研究人员说道。“威胁行为者试图张开大网,以诱骗寻找特定IT工具的毫不知情的用户。”
恶意广告
这一发现也出现在网络犯罪分子大量使用付费广告来引诱用户前往恶意网站并诱使他们下载各种恶意软件,如BATLOADER、EugenLoader(又称FakeBat)和IcedID的背景下,这些恶意软件被用来传播信息窃取器和其他有效载荷。更糟糕的是,Sophos称在知名的犯罪市场上发现了“大量关于SEO毒化、恶意广告和相关服务的广告和讨论”,以及出售被入侵的Google Ads账户的卖家。这说明“市场用户对SEO毒化和恶意广告有浓厚兴趣”,并且“也消除了试图绕过电子邮件过滤器、说服用户点击链接或下载和打开附件的困难”。这起新的恶意广告活动通过Google和Bing搜索广告进行传播,旨在针对寻求AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户。攻击者利用这些广告诱骗用户下载携带特洛伊木马的安装程序,以渗透企业网络,并可能在未来发起勒索软件攻击。该活动被称为“氮气”,被认为是一种“机会主义”行为,其目标是部署Cobalt Strike等第二阶段攻击工具,Sophos在周三的分析中指出。
氮气活动最初由eSentire在2023年6月进行记录,详细描述了一种感染链,将用户重定向到受到感染的WordPress站点,这些站点托管了恶意ISO镜像文件。最终,用户的系统会收到Python脚本和Cobalt Strike Beacons。然后在本月初,Trend Micro发现了类似的攻击序列,其中一个欺诈性的WinSCP应用程序被用作BlackCat勒索软件攻击的跳板。Sophos的研究员Gabor Szappanos、Morgan Demboski和Benjamin Sollman指出:“在整个感染链中,威胁行为者使用不常见的导出转发和DLL预加载技术来掩盖其恶意活动并阻碍分析。”一旦Python脚本被启动,将建立一个Meterpreter反向TCP shell,允许威胁行为者在受感染的主机上远程执行代码,并下载Cobalt Strike Beacon进行后期利用。“威胁行为者越来越多地滥用点击付费广告来吸引用户前往恶意站点,并诱使他们下载各种恶意软件,如BATLOADER、EugenLoader(又称FakeBat)和IcedID。”研究人员补充道。此外,Sophos还发现在知名的犯罪市场上有大量关于SEO毒化、恶意广告和相关服务的广告和讨论,以及出售被入侵的Google Ads账户的卖家。这些发现表明“市场用户对SEO毒化和恶意广告非常感兴趣”,并且“这也消除了试图绕过电子邮件过滤器,说服用户点击链接或下载和打开附件的难度”。