Une nouvelle campagne de logiciels malveillants d’accès initial « Nitrogen » utilise les annonces de recherche Google et Bing pour promouvoir de faux sites de logiciels qui infectent les utilisateurs sans méfiance avec Cobalt Strike et des charges utiles de ransomware.

L’objectif du logiciel malveillant Nitrogen est de fournir aux acteurs de la menace un accès initial aux réseaux d’entreprise, leur permettant de mener des vols de données, du cyberespionnage et, finalement, de déployer le rançongiciel BlackCat/ALPHV.

Aujourd’hui, Sophos a publié un rapport sur la campagne Nitrogen, détaillant comment elle cible principalement la technologie et les organisations à but non lucratif en Amérique du Nord, en se faisant passer pour des logiciels populaires comme AnyDesk, Cisco AnyConnect VPN, TreeSize Free et WinSCP.

eSentire a été le premier à documenter la campagne Nitrogen fin juin, tandis que Trend Micro a analysé l’activité post-compromise des publicités WinSCP conduisant à des infections par ransomware BlackCat/ALPHV au début du mois.

Cependant, ce rapport se concentrait sur la phase post-infection et manquait d’IoC (indicateurs de compromis) étendus car il était basé sur un incident de réponse unique.

La campagne de logiciels malveillants Nitrogen
La campagne de logiciels malveillants Nitrogen commence par une personne effectuant une recherche Google ou Bing pour diverses applications logicielles populaires.

Les logiciels considérés comme des leurres pour la campagne de logiciels malveillants Nitrogen comprennent :

  • AnyDesk (application de bureau à distance)
  • WinSCP (client SFTP/FTP pour Windows)
  • Cisco AnyConnect (suite VPN)
  • TreeSize Free (calculateur et gestionnaire d’espace disque)

En fonction des critères de ciblage, le moteur de recherche affichera une publicité faisant la promotion du logiciel recherché.

En cliquant sur le lien, le visiteur accède à des pages d’hébergement WordPress compromises qui imitent les sites de téléchargement de logiciels légitimes pour l’application particulière.

Seuls les visiteurs de régions géographiques spécifiques sont redirigés vers les sites de phishing, tandis que les accès directs aux URL malveillantes déclenchent à la place une redirection intempestive vers les vidéos YouTube.

Différentes routes de redirection pour les annonces des moteurs de recherche

À partir de ces faux sites, les utilisateurs téléchargent des programmes d’installation ISO contenant des chevaux de Troie (« install.exe »), qui contiennent et chargent un fichier DLL malveillant (« msi.dll »).

Le msi.dll est le programme d’installation du logiciel malveillant d’accès initial à Nitrogen appelé en interne « NitrogenInstaller », qui installe en outre l’application promise pour éviter les soupçons et un package Python malveillant.

Faux site imitant un portail de téléchargement Cisco

Le NitrogenInstaller crée également une clé d’exécution de registre nommée « Python » pour la persistance, pointant vers un binaire malveillant (« pythonw.exe ») qui s’exécute toutes les cinq minutes.

Clé de registre ajoutée pour la persistance

Le composant Python exécutera « NitrogenStager » (« python.311.dll »), qui est chargé d’établir la communication avec le C2 de l’acteur menaçant et de lancer un shell Meterpreter et des balises Cobalt Strike sur le système de la victime.

Dans certains cas observés par les analystes de Sophos, les attaquants sont passés à une activité pratique une fois le script Meterpreter exécuté sur le système cible, exécutant des commandes manuelles pour récupérer des fichiers ZIP supplémentaires et des environnements Python 3.

Ce dernier est nécessaire pour exécuter Cobalt Strike en mémoire, car le NitrogenStager ne peut pas exécuter de scripts Python.

Chaîne d’infection complète

Sophos affirme qu’en raison de la détection et de l’arrêt réussis des attaques Nitrogen observées, il n’a pas déterminé l’objectif de l’acteur de la menace, mais la chaîne d’infection indique que les systèmes compromis sont mis en scène pour le déploiement du ransomware.

Cependant, Trend Micro avait précédemment signalé que cette chaîne d’attaque avait conduit au déploiement du rançongiciel BlackCat dans au moins un cas.

Cette campagne n’est pas la première fois que des gangs de ransomwares ont abusé des publicités des moteurs de recherche pour obtenir un accès initial aux réseaux d’entreprise, les opérations de ransomware Royal et Clop utilisant cette tactique dans le passé.

Il est recommandé aux utilisateurs d’éviter de cliquer sur les résultats « promus » dans les moteurs de recherche lors du téléchargement de logiciels et de ne télécharger qu’à partir du site officiel du développeur.

Méfiez-vous également des téléchargements utilisant des fichiers ISO pour les logiciels, car il s’agit d’une méthode peu courante pour distribuer des logiciels Windows légitimes, qui se présentent généralement sous la forme d’archives .exe ou .zip.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *