Kaspersky Lab havaitsi PseudoManuscrypt-haittaohjelman, joka hyökkää teollisuusorganisaatioita vastaan

Helga Smithjoulukuu 17, 2021Viimeksi päivitetty: joulukuu 17, 2021
114 1 minuutti luettu

Kaspersky ICS CERT -asiantuntijat havaitsivat LempinimiManuscrypt haittaohjelmat, joka hyökkäsi enemmän kuin 35,000 tietokoneet sisään 195 maissa tammikuun välisenä aikana 20 ja marraskuuta 10, 2021. Hyökkäävien kohteiden luettelo sisältää huomattavan määrän teollisuuden ja valtion organisaatioita, mukaan lukien sotilas-teollisen kompleksin yritykset ja tutkimuslaboratoriot.

Tutkijat väittävät ainakin näin 7.2% hyökkäämistä tietokoneista LempinimiManuscrypt ovat osa teollisuuden automaatiojärjestelmiä (ICS) eri toimialojen organisaatioissa.

Haittaohjelma nimettiin PseudoManuscrypt, koska sen latausohjelma on samanlainen kuin Käsikirjoitus haittaohjelmien latausohjelma, joka on osa arsenaalia Lasarus hakkerointiryhmä.

Käsikirjoitus

PseudoManuscrypt-latausohjelma saapuu järjestelmään Malware-as-a-Service (MaaS) alusta, joka levittää haitallisia asennusohjelmia piraattiohjelmistojen varjolla. Joissakin tapauksissa, tämä tapahtui kautta Tyhmä botnet (jonka pääasennusohjelma on myös jaettu piraattiohjelmiston varjolla).

Google Etsi

Asiantuntijoiden mukaan, päähaittamoduulissa PseudoManuscrypt on monia vakoilutoimintoja, mukaan lukien VPN-yhteystietojen varastaminen, näppäinpainallusten kirjaaminen, kuvakaappausten ottaminen ja näyttövideoiden tallentaminen, äänittää ääntä mikrofonista, varastaa tietoja leikepöydältä ja leikkaussalin tapahtumalokitietoja. järjestelmät (joka mahdollistaa myös RDP-yhteyksien tietojen varastamisen).

Hyökkäyksiin joutuneiden tietokoneiden joukossa on monia teknisiä koneita, mukaan lukien fyysiset ja 3D-mallinnusjärjestelmät digitaalisten kaksosten kehittämiseen ja käyttöön. Tämä antoi asiantuntijoille mahdollisuuden olettaa, että yksi kampanjan mahdollisista kohteista on teollisuusvakoilu.

Yhtiön raportissa on myös kaksi tosiasiaa. Ensimmäinen, PseudoManuscrypt-latausohjelmalla on yhtäläisyyksiä Lazaruksen käyttämän Manuscrypt-haittaohjelmien latausohjelman kanssa. 2020 hyökkäyksiä puolustusalan yrityksiä vastaan ​​eri maissa. Toinen, siirtää varastetut tiedot hyökkääjille’ palvelin, PseudoManuscrypt käyttää harvinaisen KCP-protokollan toteutusta, joka nähtiin aiemmin vain käyttämissä haittaohjelmissa APT41.

kuitenkin, ilmeisen keskittymisen puute suuren määrän uhrien jakamisessa, mikä ei ole ominaista kohdistetuille kyberkampanjoille, ei salli tämän kampanjan yksiselitteistä yhdistämistä Lazarukseen tai mihinkään muuhun APT:hen.

Tämä on hyvin epätavallinen kampanja, ja analysoimme edelleen saatavilla olevia tietoja. kuitenkin, yksi tosiasia on selvä: tämä on uhka, johon ammattilaisten on kiinnitettävä huomiota. Se vaikutti kymmeniin tuhansiin tietokoneisiin ja kykeni leviämään tuhansiin ICS-tietokoneisiin, vaarantaa monia teollisuusjärjestöjä ympäri maailmaa. Jatkamme tutkimusta ja pidämme kyberturvallisuusyhteisön ajan tasalla.kommentteja Vjatšeslav Kopeytsev, teollisuusturvallisuuden asiantuntija klo Kaspersky Lab.

Muistutan teitä, että puhuimme myös siitä, että Tutkijat löysivät ALPHV Rust-kielellä kirjoitettu kiristysohjelma.

Tunnisteet
Helga Smithjoulukuu 17, 2021Viimeksi päivitetty: joulukuu 17, 2021
114 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike