Nitrogen

Nitrogenはマルウェアです。
巧妙な手口で被害環境を侵害し、最終的にランサムウェア攻撃に発展してしまうことになります。
Nitrogenの展開の様子はこんな感じです。

• 人気のソフトウェアの配布を装う
  AnyDesk、WinSCP、Cisco AnyConnect VPN、TreeSize Freeなどのソフトウェアの配布サイトに見えるものを用意します。
  そして検索エンジンで検索結果にヒットさせ、訪問者を誘い込みます。

   

• 被害者予備軍はランディングページを訪問する
  検索結果のなかのマルウェアに繋がるURLをクリックした人は、ランディングページに到達します。
  訪問者の地域が判定され、ターゲットの地域でない場合は有害なコンテンツに向かいません。
  訪問者がターゲットの地域の人の場合、フィッシングサイトに誘導されます。

   

• トロイをダウンロードする
  訪問者は人気のソフトウェアのダウンロードを期待しています。
  訪問したサイトでソフトのiso形式のインストーラーをダウンロードします。
  しかしそのインストーラーは正規のものではありません。
  install.exeにはmsi.dllが含まれ、msi.dllはNitrogenInstallerというNitrogen初期アクセスマルウェアのインストーラーとなっています。
  このマルウェアインストーラーは、期待された本来のソフトウェアをインストールしますが、それに加えて悪意のあるPythonパッケージもインストールします。

   

• 永続化される
  NitrogenInstallerはWindowsに5分毎に自動実行されるようにレジストリに仕掛けを施します。
  自動実行されるのは先ほど出てきたPythonパッケージです。

   

• 活動を開始する
  Pythonパッケージのなかにはpython.311.dllが含まれます。
  python.311.dllはNitrogenStagerです。
  NitrogenStagerはMetasploitのペイロードのMeterpreterと、Cobalt Strike Beaconを起動します。
  C2との通信も担当します。

これらのツールがあればいろいろな活動が可能です。
ここから、BlackCat ransomwareにつながるという流れも観測されています。

この攻撃に限ったことではありませんが、iso形式のファイルでマルウェアを展開する例が増えてきています。
これは脅威の検出を回避する目的で選択されていることが想定されますが、通常はisoで正規のソフトウェアのインストーラーが配布されることは多くないと考えられます。
正規のサイトから入手するということだけでなく、配布ファイル形式にも注意することが必要なのでしょうね。

参考記事（外部リンク）：Into the tank with Nitrogen
news.sophos.com/en-us/2023/07/26/into-the-tank-with-nitrogen/