Kaspersky Lab mendeteksi malware PseudoManuscrypt yang menyerang organisasi industri

Helga SmithDesember 17, 2021Terakhir Diperbarui: Desember 17, 2021
104 1 menit dibaca

Pakar Kaspersky ICS CERT mendeteksi hal tersebut PseudoManuscrypt perangkat lunak perusak, yang menyerang lebih dari 35,000 komputer di 195 negara antara bulan Januari 20 dan November 10, 2021. Daftar objek yang diserang mencakup sejumlah besar organisasi industri dan pemerintah, termasuk perusahaan kompleks industri militer dan laboratorium penelitian.

Setidaknya para peneliti mengatakan demikian 7.2% komputer yang diserang oleh PseudoManuscrypt merupakan bagian dari sistem otomasi industri (ICS) dalam organisasi berbagai industri.

Malware tersebut diberi nama PseudoManuscrypt karena pemuatnya mirip dengan Manuskrip pemuat malware, yang merupakan bagian dari gudang senjata Lazarus kelompok peretasan.

Manuskrip

Pengunduh PseudoManuscrypt memasuki sistem melalui Malware-sebagai-Layanan (MaaS) platform, yang mendistribusikan installer jahat dengan kedok perangkat lunak bajakan. Dalam beberapa kasus, ini terjadi melalui Kebodohan botnet (installer utamanya juga didistribusikan dengan kedok perangkat lunak bajakan).

Google Temukan

Menurut para ahli, modul jahat utama PseudoManuscrypt memiliki banyak fungsi mata-mata, termasuk mencuri data koneksi VPN, mencatat penekanan tombol, mengambil tangkapan layar dan merekam video layar, merekam suara dari mikrofon, mencuri data dari clipboard dan data log peristiwa ruang operasi. sistem (yang juga memungkinkan untuk mencuri data tentang koneksi RDP).

Di antara komputer yang diserang terdapat banyak mesin rekayasa, termasuk sistem pemodelan fisik dan 3D untuk pengembangan dan penggunaan digital twins. Hal ini memungkinkan para ahli berasumsi bahwa salah satu target kampanye ini adalah spionase industri.

Ada juga dua fakta dalam laporan perusahaan. Pertama, pengunduh PseudoManuscrypt memiliki kesamaan dengan pengunduh malware Manuscrypt yang digunakan oleh Lazarus di dalamnya 2020 serangan terhadap perusahaan pertahanan di berbagai negara. Kedua, untuk mentransfer data yang dicuri ke penyerang’ server, PseudoManuscrypt menggunakan implementasi protokol KCP yang langka, yang sebelumnya hanya terlihat pada malware yang digunakan oleh APT41.

Namun, tidak adanya fokus yang jelas dalam pendistribusian korban dalam jumlah besar, yang bukan merupakan karakteristik kampanye siber yang ditargetkan, tidak mengizinkan secara jelas menghubungkan kampanye ini dengan Lazarus atau APT lainnya.

Ini adalah kampanye yang sangat tidak biasa dan kami masih menganalisis informasi yang tersedia. Namun, satu fakta sudah jelas: ini adalah ancaman yang perlu diwaspadai oleh para profesional. Ini mempengaruhi puluhan ribu komputer dan mampu menyebar ke ribuan komputer ICS, membahayakan banyak organisasi industri di seluruh dunia. Kami akan melanjutkan penelitian kami dan terus memperbarui komunitas keamanan siber.komentar Vyacheslav Kopeytsev, seorang pakar keamanan industri di Lab Kaspersky.

Izinkan saya mengingatkan Anda bahwa kita juga membicarakan fakta itu Peneliti menemukan ALPHV ransomware yang ditulis dalam Rust.

Tag
Helga SmithDesember 17, 2021Terakhir Diperbarui: Desember 17, 2021
104 1 menit dibaca

Helga Smith

Saya selalu tertarik pada ilmu komputer, terutama keamanan data dan tema, yang disebut saat ini "ilmu data", sejak remaja awal saya. Sebelum masuk ke tim Penghapusan Virus sebagai Pemimpin Redaksi, Saya bekerja sebagai pakar keamanan siber di beberapa perusahaan, termasuk salah satu kontraktor Amazon. Pengalaman lain: Yang saya dapatkan adalah mengajar di universitas Arden dan Reading.

Tinggalkan Balasan

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Tombol kembali ke atas