Kaspersky Lab a détecté un malware PseudoManuscrypt qui attaque les organisations industrielles

Les experts de Kaspersky ICS CERT ont détecté le PseudoManuscrypt les logiciels malveillants, qui a attaqué plus de 35,000 ordinateurs dans 195 pays entre janvier 20 et novembre 10, 2021. La liste des objets attaqués comprend un nombre important d'organisations industrielles et gouvernementales, y compris les entreprises du complexe militaro-industriel et les laboratoires de recherche.

Les chercheurs disent qu'au moins 7.2% des ordinateurs attaqués par PseudoManuscrypt font partie des systèmes d'automatisation industrielle (SCI) dans les organisations de diverses industries.

Le malware a été nommé PseudoManuscrypt car son chargeur est similaire au Manuscrypt chargeur de logiciels malveillants, qui fait partie de l'arsenal des Lazare groupe de piratage.

Le téléchargeur PseudoManuscrypt entre dans le système via le Malware-as-a-Service (MaaS) Plate-forme, qui distribue des installateurs malveillants sous couvert de logiciels piratés. Dans certains cas, cela s'est produit à travers le Stupide botnet (dont l'installateur principal est également distribué sous couvert de logiciel piraté).

D'après les experts, le principal module malveillant PseudoManuscrypt possède de nombreuses fonctions d'espionnage, y compris le vol de données de connexion VPN, enregistrement des frappes, prendre des captures d'écran et des enregistrements de vidéos d'écran, enregistrer le son d'un microphone, voler des données dans le presse-papiers et les données du journal des événements de la salle d'opération. systèmes (qui permet également de voler des données sur les connexions RDP).

Parmi les ordinateurs qui ont été attaqués figurent de nombreuses machines d'ingénierie, y compris les systèmes de modélisation physique et 3D pour le développement et l'utilisation de jumeaux numériques. Cela a permis aux experts de supposer que l'une des cibles possibles de la campagne est l'espionnage industriel.

Il y a aussi deux faits dans le rapport de l'entreprise. Premier, le téléchargeur PseudoManuscrypt partage des similitudes avec le téléchargeur de logiciels malveillants Manuscrypt utilisé par Lazarus dans son 2020 attaques contre des entreprises de défense dans divers pays. Seconde, pour transférer les données volées aux attaquants’ serveur, PseudoManuscrypt utilise une implémentation du rare protocole KCP, qui n'était auparavant visible que dans les logiciels malveillants utilisés par APT41.

toutefois, l'absence d'une orientation évidente dans la répartition d'un grand nombre de victimes, ce qui n'est pas caractéristique des cybercampagnes ciblées, ne permet pas de lier sans ambiguïté cette campagne avec Lazarus ou tout autre APT.

Permettez-moi de vous rappeler que nous avons également parlé du fait que Les chercheurs ont découvert ALPHV ransomware écrit en Rust.