Η Kaspersky Lab εντόπισε κακόβουλο λογισμικό PseudoManuscrypt που επιτίθεται σε βιομηχανικούς οργανισμούς

Οι ειδικοί του Kaspersky ICS CERT εντόπισαν το ΨευδώνυμοManuscrypt κακόβουλο λογισμικό, που επιτέθηκε περισσότερο από 35,000 υπολογιστές μέσα 195 χώρες μεταξύ Ιανουαρίου 20 και τον Νοέμβριο 10, 2021. Ο κατάλογος των αντικειμένων που δέχθηκαν επίθεση περιλαμβάνει σημαντικό αριθμό βιομηχανικών και κυβερνητικών οργανισμών, συμπεριλαμβανομένων επιχειρήσεων του στρατιωτικοβιομηχανικού συγκροτήματος και ερευνητικών εργαστηρίων.

Οι ερευνητές λένε ότι τουλάχιστον 7.2% υπολογιστών που δέχθηκαν επίθεση από ΨευδώνυμοManuscrypt αποτελούν μέρος των συστημάτων βιομηχανικού αυτοματισμού (ICS) σε οργανισμούς διαφόρων βιομηχανιών.

Το κακόβουλο λογισμικό ονομάστηκε PseudoManuscrypt επειδή ο φορτωτής του είναι παρόμοιος με το Χειρόγραφη φόρτωση κακόβουλου λογισμικού, που αποτελεί μέρος του οπλοστασίου του Λάζαρος ομάδα hack.

Το πρόγραμμα λήψης PseudoManuscrypt εισέρχεται στο σύστημα μέσω του Κακόβουλο λογισμικό ως υπηρεσία (MaaS) πλατφόρμα, που διανέμει κακόβουλους εγκαταστάτες υπό το πρόσχημα πειρατικού λογισμικού. Σε ορισμένες περιπτώσεις, αυτό συνέβη μέσω του Χαζος botnet (το κύριο πρόγραμμα εγκατάστασης του οποίου διανέμεται επίσης υπό το πρόσχημα του πειρατικού λογισμικού).

Σύμφωνα με ειδικούς, η κύρια κακόβουλη ενότητα PseudoManuscrypt έχει πολλές λειτουργίες κατασκοπείας, συμπεριλαμβανομένης της κλοπής δεδομένων σύνδεσης VPN, πληκτρολόγηση καταγραφής, λήψη στιγμιότυπων οθόνης και εγγραφές βίντεο οθόνης, εγγραφή ήχου από μικρόφωνο, κλοπή δεδομένων από το πρόχειρο και τα δεδομένα αρχείου καταγραφής συμβάντων του χειρουργείου. συστήματα (που καθιστά επίσης δυνατή την κλοπή δεδομένων σχετικά με συνδέσεις RDP).

Μεταξύ των υπολογιστών που δέχθηκαν επίθεση είναι πολλά μηχανήματα μηχανικής, συμπεριλαμβανομένων συστημάτων φυσικής και τρισδιάστατης μοντελοποίησης για την ανάπτυξη και χρήση ψηφιακών διδύμων. Αυτό επέτρεψε στους ειδικούς να υποθέσουν ότι ένας από τους πιθανούς στόχους της εκστρατείας είναι η βιομηχανική κατασκοπεία.

Υπάρχουν επίσης δύο γεγονότα στην έκθεση της εταιρείας. Πρώτα, το πρόγραμμα λήψης PseudoManuscrypt μοιράζεται ομοιότητες με το πρόγραμμα λήψης κακόβουλου λογισμικού Manuscrypt που χρησιμοποιείται από τον Lazarus στο 2020 επιθέσεις εναντίον αμυντικών εταιρειών σε διάφορες χώρες. Δεύτερος, να μεταφέρει κλεμμένα δεδομένα στους εισβολείς’ υπηρέτης, Το PseudoManuscrypt χρησιμοποιεί μια υλοποίηση του σπάνιου πρωτοκόλλου KCP, που προηγουμένως εμφανιζόταν μόνο στο κακόβουλο λογισμικό που χρησιμοποιούσε APT41.

Ωστόσο, η έλλειψη προφανούς εστίασης στην κατανομή μεγάλου αριθμού θυμάτων, που δεν είναι χαρακτηριστικό των στοχευμένων εκστρατειών στον κυβερνοχώρο, δεν επιτρέπει τη σαφή σύνδεση αυτής της καμπάνιας με το Lazarus ή οποιοδήποτε άλλο APT.

Επιτρέψτε μου να σας υπενθυμίσω ότι μιλήσαμε επίσης για το γεγονός ότι Οι ερευνητές ανακάλυψαν ALPHV ransomware γραμμένο σε Rust.