מעבדת קספרסקי זיהתה תוכנה זדונית PseudoManuscrypt שתוקפת ארגונים תעשייתיים
מומחי קספרסקי ICS CERT זיהו את כינויManuscrypt תוכנות זדוניות, שתקף יותר מ 35,000 מחשבים ב 195 מדינות בין ינואר 20 ונובמבר 10, 2021. רשימת החפצים המותקפים כוללת מספר לא מבוטל של ארגונים תעשייתיים וממשלתיים, כולל מפעלים של המכלול הצבאי-תעשייתי ומעבדות מחקר.
חוקרים אומרים את זה לפחות 7.2% של מחשבים שהותקפו על ידי כינויManuscrypt הם חלק ממערכות אוטומציה תעשייתיות (ICS) בארגונים של תעשיות שונות.
התוכנה הזדונית קיבלה את השם PseudoManuscrypt מכיוון שהמטעין שלה דומה ל- Manuscrypt טוען תוכנות זדוניות, שהוא חלק מהארסנל של ה לזרוס קבוצת פריצה.
הורדת PseudoManuscrypt נכנס למערכת דרך תוכנה זדונית-כשירות (MaaS) פּלַטפוֹרמָה, שמפיצה מתקינים זדוניים במסווה של תוכנות פיראטיות. במקרים מסוימים, זה קרה דרך ה מְטוּפָּשׁ botnet (המתקין הראשי שלו מופץ גם הוא במסווה של תוכנה פיראטית).
לדברי מומחים, למודול הזדוני הראשי PseudoManuscrypt יש פונקציות ריגול רבות, כולל גניבת נתוני חיבור VPN, רישום הקשות, צילום מסך והקלטות של סרטוני מסך, הקלטת קול ממיקרופון, גניבת נתונים מהלוח ונתוני יומן אירועים בחדר הניתוח. מערכות (מה שמאפשר גם לגנוב נתונים על חיבורי RDP).
בין המחשבים שהותקפו מכונות הנדסיות רבות, כולל מערכות מידול פיזיות ותלת מימדיות לפיתוח ושימוש בתאומים דיגיטליים. זה איפשר למומחים להניח שאחד היעדים האפשריים של הקמפיין הוא ריגול תעשייתי.
יש גם שתי עובדות בדוח של החברה. ראשון, הורדת PseudoManuscrypt חולק קווי דמיון עם הורדת תוכנות זדוניות Manuscrypt המשמש את לזרוס 2020 תקיפות נגד חברות ביטחוניות במדינות שונות. שְׁנִיָה, להעביר נתונים גנובים לתוקפים’ שרת, PseudoManuscrypt משתמש ביישום של פרוטוקול KCP הנדיר, אשר נראתה בעבר רק בתוכנות הזדוניות בהן השתמש APT41.
למרות זאת, היעדר מיקוד ברור בהפצה של מספר רב של קורבנות, מה שלא מאפיין קמפיינים סייבר ממוקדים, אינו מאפשר לקשר באופן חד משמעי את הקמפיין הזה עם לזרוס או כל APT אחר.
הרשה לי להזכיר לך שדיברנו גם על כך חוקרים גילו ALPHV תוכנת כופר שנכתבה ב- Rust.
