近日观察到一种新的恶意广告活动正在利用谷歌搜索和必应广告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，诱骗他们下载木马安装程序，目的是入侵企业网络，并可能在未来实施勒索软件攻击。Sophos在周三的一份分析报告中称，这种"机会主义"活动被称为"Nitrogen"，旨在部署Cobalt Strike等第二阶段攻击工具。

这种新型的恶意广告活动使用谷歌搜索和必应广告的漏洞，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，利用诱骗的手段下载木马安装程序，从而入侵企业网络，实现未来的勒索软件攻击。Sophos在周三的一份分析报告中称这种活动为"机会主义"，被称为"Nitrogen"，其目的在于部署Cobalt Strike等第二阶段攻击工具。

在2023年6月，eSentire首次记录了Nitrogen，详细描述了一个感染链，它将用户重定向到受攻击的WordPress网站，最终将Python脚本和Cobalt Strike Beacons发送到目标系统上。这种感染链的过程中，威胁方使用不常见的导出转发和DLL预加载技术来掩盖其恶意活动，使其更难被发现。

Sophos研究人员表示，该恶意活动的Python脚本一旦启动，就会建立一个Meterpreter反向TCP外壳，从而允许攻击者在受感染的主机上远程执行代码，并下载一个Cobalt Strike Beacon以便后期利用。这种攻击方式非常隐蔽，攻击者可以在受害者系统中悄悄地进行恶意活动，而不让用户察觉。

研究人员指出，搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式，诱使毫无戒心的用户点击并下载。这其中包括，网络犯罪分子利用付费广告引诱用户访问恶意网站，诱使他们下载BATLOADER、EugenLoader（又名FakeBat）和IcedID等多种恶意软件，然后利用这些恶意软件传播信息窃取程序和其他有效载荷。

Sophos还表示，在著名的暗网市场上发现了"大量关于SEO中毒、恶意广告和相关服务的广告和讨论"，以及提供受损Google Ads帐户的卖家。这也进一步说明"攻击者对SEO中毒和恶意广告有着浓厚的兴趣"。因此，企业需要加强网络安全防护，特别是需要对员工进行网络安全意识教育，提高其对网络安全风险的认识和警惕性，以降低企业的网络安全风险。

总的来说，Nitrogen恶意广告活动是一种十分隐蔽的攻击方式，攻击者可以通过搜索引擎内显示的广告对企业进行攻击，在用户不知情的情况下入侵企业网络，从而实现未来的勒索软件攻击。因此，企业需要加强网络安全防护，特别是需要对员工进行网络安全意识教育，提高其对网络安全风险的认识和警惕性，以降低企业的网络安全风险。