Kaspersky Lab hat PseudoManuscrypt-Malware entdeckt, die Industrieunternehmen angreift

Die Experten von Kaspersky ICS CERT haben die SpitznameManuscrypt Malware, die mehr angegriffen haben als 35,000 Computer in 195 Länder zwischen Januar 20 und November 10, 2021. Die Liste der angegriffenen Objekte umfasst eine beträchtliche Anzahl von Industrie- und Regierungsorganisationen, einschließlich Unternehmen des militärisch-industriellen Komplexes und Forschungslabors.

Das sagen Forscher zumindest 7.2% der Computer angegriffen von SpitznameManuscrypt sind Teil industrieller Automatisierungssysteme (ICS) in Organisationen verschiedener Branchen.

Die Malware wurde PseudoManuscrypt genannt, weil ihr Loader dem ähnlich ist Manuscrypt Malware-Loader, das ist Teil des Arsenals der Lazarus Gruppe hacken.

Der PseudoManuscrypt-Downloader gelangt in das System über die Malware-as-a-Service (MaaS) Plattform, die bösartige Installer unter dem Deckmantel von Raubkopien verbreitet. In manchen Fällen, das geschah durch die Dumm Botnet (dessen Hauptinstallationsprogramm auch unter dem Deckmantel von Raubkopien verbreitet wird).

Nach Meinung von Experten, Das bösartige Hauptmodul PseudoManuscrypt hat viele Spionagefunktionen, einschließlich des Diebstahls von VPN-Verbindungsdaten, Tastenanschläge protokollieren, Screenshots und Aufnahmen von Bildschirmvideos machen, Ton von einem Mikrofon aufnehmen, Diebstahl von Daten aus der Zwischenablage und Ereignisprotokolldaten des Operationssaals. Systeme (wodurch es auch möglich ist, Daten über RDP-Verbindungen zu stehlen).

Unter den angegriffenen Computern befinden sich viele technische Maschinen, einschließlich physikalischer und 3D-Modellierungssysteme für die Entwicklung und Nutzung von digitalen Zwillingen. Dies ließ Experten davon ausgehen, dass eines der möglichen Ziele der Kampagne Wirtschaftsspionage ist.

Zwei Fakten stehen auch im Bericht des Unternehmens. Zuerst, Der PseudoManuscrypt-Downloader weist Ähnlichkeiten mit dem Manuscrypt-Malware-Downloader auf, der von Lazarus in seinem . verwendet wird 2020 Angriffe auf Verteidigungsunternehmen in verschiedenen Ländern. Zweite, um gestohlene Daten an die Angreifer zu übertragen’ Server, PseudoManuscrypt verwendet eine Implementierung des seltenen KCP-Protokolls, die bisher nur in der von verwendeten Malware zu sehen war APT41.

jedoch, das Fehlen eines offensichtlichen Fokus bei der Verteilung einer großen Zahl von Opfern, was für gezielte Cyber-Kampagnen nicht charakteristisch ist, erlaubt keine eindeutige Verknüpfung dieser Kampagne mit Lazarus oder einem anderen APT.

Lassen Sie mich daran erinnern, dass wir auch darüber gesprochen haben, dass Forscher entdeckten Die Malware-Entwickler selbst nennen es in Rust geschriebene Ransomware.