情报来源：https://www.threatdown.com/blog/nitrogen-05-03-2024/

制作：梦幻的彼岸

动画：

通过Google广告获取的Advanced IP Scanner指向恶意软件Nitrogen

传播链条

我们今天关注的威胁是通过一种针对潜在受害者的广告（可能是系统管理员）来进行的，该广告宣传的是Advanced IP Scanner，这是一款广受欢迎的网络工具。

然而，这个恶意下载实际上导向了一种名为Nitrogen的恶意软件，该软件被用作勒索软件部署的初始入侵手段。

Distribution (Google ad->Phishing site->Download ZIP)

我们在Google上搜索关键词“advanced ip scanner”，看到了下面展示的广告。在这种情况下，攻击者几乎没有花费太多精力，因为域名明显与官方网站不同，并且广告中还包含拼写错误。

当您点击这个广告时，您会通过广告URL中显示的伪装域名被重定向。这种技术被称为cloaking，它使得威胁行为者能够欺骗Google，让其认为广告是干净的。现在，让我们假装自己不是一个真实的用户，通过更改一些浏览器设置来让自己看起来像一个爬虫程序。我们看到的是一个看起来很真实的网站，尽管之前从来没有人听说过它！

攻击者会不遗余力地创建这些伪装页面，但很多时候他们会利用人工智能来为他们构建这些站点。现在，让我们回到广告，从一个真实的用户配置文件中点击它：我们得到了一个完全不同的最终网址！

为了理解这里发生的情况，让我们查看从Google广告到这个页面的网络流量。我们看到saltysour[.]com这个域名立即通过302 HTTP状态码将我们重定向到了另一个冒充真实Advanced IP Scanner网站的站点。

真实站点：advanced-ip-scanner[.]com

假冒站点：advanced-ip-scan[.]org

我们按下下载按钮后，从一个看似WordPress网站的地方获取了一个名为IP_Scanner_v.3.5.2.1.zip的文件，这相当可疑。我们解压这个Zip档案的内容，看到如下所示的文件。

虽然setup.exe文件本身是合法的，但它会旁加载一个恶意的DLL文件（python311.dll），该文件会回调到命令控制服务器。这是被称为Nitrogen的威胁的标志性动作。这款恶意软件被用作更长攻击链的一部分，该链条最终导致勒索软件的部署。实际上，Nitrogen与BlackCat（又称ALPHV）勒索软件的部署有关联。

执行流程

保护措施

ThreatDown 的客户已经受到保护，不会受到这种攻击：

• 通过网络防护检测到钓鱼网站
• 通过人工智能驱动的自动签名系统检测到恶意 DLL（Nitrogen）
• 网络防护已检测到 “Nitrogen ”的命令和控制服务器 (C2)

缓解措施

为了保护用户免受多种基于网络的威胁，仔细审查在线广告至关重要。通过点击搜索广告来下载软件是一种有风险的行为，因为品牌很容易被冒充。您可以考虑以下几个方面的措施来加强防护：

• 你可以全面屏蔽广告，这将使恶意广告攻击变得非常不可能
• 你可以提供一个内部资源库，让员工从那里下载他们需要的软件程序

我们强烈建议您使用网络防护，它不仅仅是一个简单的广告拦截器。ThreatDown 可以拦截恶意广告商使用的恶意基础架构以及攻击者依赖的命令和控制服务器，让您高枕无忧。
切记要及时处理此类入侵，因为氮并非这一攻击链中的最终有效载荷。在部署勒索软件之前，攻击者会利用它对受害者进行剖析。

威胁情报标识

伪装网址

saltysour[.]com

钓鱼网址

advanced-ip-scan[.]org

攻击载荷 网址

giaoanso[.]com/wp-includes/IP_Scanner_v.3.5.2.1.zip

攻击载荷 SHA256

e2ee4d4798f74639686206770b4782ded7a63e7516602efbf9ef53ce00a8e3f8

Nitrogen SHA256

26c9be484d40491f190b771b3c412a7474f0da719df3ce17e7f057ac9e48e429

Nitrogen C2

91.92.249[.]89

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课