Nitrogen Malware攻击可导致BlackCat勒索软件传播

关键要点

• 北美科技及非营利组织成为Nitrogen恶意软件攻击目标。
• 攻击者利用假的软件网站的网络搜索广告传播ALPHV/BlackCat勒索软件。
• 受害者往往被引导至包含木马ISO安装程序的虚假网站。
• NitrogenInstaller中发现了“Python”注册表项用于持久化。
• 攻击者的方法与Trend Micro之前观察到的相似。

最近，北美的科技与非营利组织遭遇了名为Nitrogen的新型初始访问恶意软件攻击。根据的报道，这一恶意软件活动利用假软件网站的网络搜索广告来引导用户，从而促进ALPHV/BlackCat勒索软件的传播。

这一攻击背后的威胁行动者在Google或Bing搜索中针对常用软件进行了广告投放，例如AnyDesk、CiscoAnyConnect、WinSCP和TreeSizeFree，旨在诱使潜在受害者访问带有特洛伊木马的虚假网站。这些网站提供的ISO安装程序藏有恶意DLL文件，安装后将Nitrogen恶意软件传播至受害者设备。Sophos的报告指出，进一步分析NitrogenInstaller发现了用于持久化的“Python”注册表项及“ NitrogenStager”的执行。这一环节建立了与指挥与控制服务器的通信，部署了Cobalt Strike信标和Meterpreter Shell。

尽管Sophos研究人员尚未确定这一攻击活动的具体目标，但TrendMicro的研究人员之前提到过，类似的攻击链已被用于ALPHV/BlackCat勒索软件的传播。这显示出网络安全形势的严峻，用户和组织需提高警惕，以防范此类新型网络攻击。

有必要定期检查和更新系统安全措施，避免成为网络攻击的受害者。