Kaspersky Lab har opdaget PseudoManuscrypt-malware, der angriber industrielle organisationer

Helga Smithdecember 17, 2021Sidst opdateret: december 17, 2021
104 1 minuts læsning

Kaspersky ICS CERT-eksperter opdagede Kaldenavn Manuscrypt malware, som angreb mere end 35,000 computere i 195 lande mellem januar 20 og november 10, 2021. Listen over angrebne objekter omfatter et betydeligt antal industrielle og statslige organisationer, herunder virksomheder i det militær-industrielle kompleks og forskningslaboratorier.

Det siger forskere i hvert fald 7.2% af computere angrebet af Kaldenavn Manuscrypt er en del af industrielle automationssystemer (ICS) i organisationer i forskellige brancher.

Malwaren fik navnet PseudoManuscrypt, fordi dens loader ligner Manuscrypt malware loader, som er en del af arsenalet af Lazarus hack gruppe.

Manuscrypt

PseudoManuscrypt-downloaderen kommer ind i systemet gennem Malware-som-en-tjeneste (MaaS) platform, som distribuerer ondsindede installatører under dække af piratkopieret software. I nogle tilfælde, dette skete gennem Dum botnet (hvis hovedinstallationsprogram også distribueres under dække af piratkopieret software).

Google Find

Ifølge eksperter, det ondsindede hovedmodul PseudoManuscrypt har mange spionfunktioner, herunder stjæle VPN-forbindelsesdata, logge tastetryk, tage skærmbilleder og optagelser af skærmvideoer, optagelse af lyd fra en mikrofon, stjæle data fra udklipsholderen og operationsstuens hændelseslogdata. systemer (hvilket også gør det muligt at stjæle data om RDP-forbindelser).

Blandt de computere, der blev angrebet, er mange tekniske maskiner, herunder fysiske og 3D-modelleringssystemer til udvikling og brug af digitale tvillinger. Dette gjorde det muligt for eksperter at antage, at et af de mulige mål for kampagnen er industrispionage.

Der er også to fakta i virksomhedens rapport. Først, PseudoManuscrypt-downloaderen deler ligheder med Manuscrypt-malware-downloaderen, der bruges af Lazarus i sin 2020 angreb mod forsvarsvirksomheder i forskellige lande. Anden, at overføre stjålne data til angriberne’ server, PseudoManuscrypt bruger en implementering af den sjældne KCP-protokol, som tidligere kun blev set i den malware, der blev brugt af APT41.

Imidlertid, manglen på et åbenlyst fokus i fordelingen af ​​et stort antal ofre, hvilket ikke er karakteristisk for målrettede cyberkampagner, tillader ikke entydigt at forbinde denne kampagne med Lazarus eller nogen anden APT.

Dette er en meget usædvanlig kampagne, og vi analyserer stadig den tilgængelige information. Imidlertid, et faktum er klart: dette er en trussel, som fagfolk skal være opmærksomme på. Det påvirkede titusindvis af computere og var i stand til at sprede sig til tusindvis af ICS-computere, kompromitterer mange industriorganisationer rundt om i verden. Vi vil fortsætte vores forskning og holde cybersikkerhedssamfundet opdateret.kommentarer Vyacheslav Kopeytsev, en industriel sikkerhedsekspert hos Kaspersky Lab.

Lad mig minde dig om, at vi også talte om, at Forskere opdagede ALPHV ransomware skrevet i Rust.

Mærker
Helga Smithdecember 17, 2021Sidst opdateret: december 17, 2021
104 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap