Kaspersky Lab fann PseudoManuscrypt spilliforrit sem ræðst á iðnaðarstofnanir

Helga Smithdesember 17, 2021Síðast uppfært: desember 17, 2021
104 1 mínútu lestur

Sérfræðingar Kaspersky ICS CERT fundu PseudoManuscrypt spilliforrit, sem réðst á fleiri en 35,000 tölvur inn 195 löndum milli janúar 20 og nóvember 10, 2021. Listinn yfir hluti sem ráðist hefur verið á inniheldur umtalsverðan fjölda iðnaðar- og ríkisstofnana, þar á meðal fyrirtæki hernaðariðnaðarsamstæðunnar og rannsóknarstofur.

Vísindamenn segja það að minnsta kosti 7.2% af tölvum sem ráðist var á PseudoManuscrypt eru hluti af sjálfvirknikerfum í iðnaði (ICS) í samtökum ýmissa atvinnugreina.

Spilliforritið var nefnt PseudoManuscrypt vegna þess að hleðslutæki þess er svipað og Manuscrypt malware hleðslutæki, sem er hluti af vopnabúr af Lasarus hakk hópur.

Manuscrypt

PseudoManuscrypt niðurhalarinn fer inn í kerfið í gegnum Malware-as-a-Service (MaaS) pallur, sem dreifir illgjarnum uppsetningarforritum í skjóli sjóræningjahugbúnaðar. Í sumum tilfellum, þetta gerðist í gegnum Heimska botnet (aðaluppsetningarforritinu sem einnig er dreift í skjóli sjóræningjahugbúnaðar).

Google Finndu

Samkvæmt sérfræðingum, aðal illgjarn einingin PseudoManuscrypt hefur margar njósnaaðgerðir, þar á meðal að stela VPN-tengingargögnum, skráningu ásláttar, taka skjámyndir og upptökur af skjámyndböndum, taka upp hljóð úr hljóðnema, að stela gögnum af klemmuspjaldinu og gögnum um atburðaskrá skurðstofu. kerfi (sem gerir það einnig mögulegt að stela gögnum um RDP tengingar).

Meðal tölva sem ráðist var á eru margar verkfræðivélar, þar á meðal líkamleg og þrívíddarlíkanakerfi fyrir þróun og notkun stafrænna tvíbura. Þetta gerði sérfræðingum kleift að gera ráð fyrir að eitt af hugsanlegum markmiðum herferðarinnar væri iðnaðarnjósnir.

Það eru líka tvær staðreyndir í skýrslu félagsins. Fyrst, PseudoManuscrypt niðurhalarinn deilir líkt með Manuscrypt malware niðurhalaranum sem Lazarus notar í 2020 árásir gegn varnarfyrirtækjum í ýmsum löndum. Í öðru lagi, að flytja stolin gögn til árásarmannanna’ miðlara, PseudoManuscrypt notar útfærslu á sjaldgæfu KCP samskiptareglum, sem áður sást aðeins í spilliforritinu sem notað var af APT41.

Hins vegar, skortur á augljósri áherslu í dreifingu fjölda fórnarlamba, sem er ekki einkennandi fyrir markvissar netherferðir, leyfir ekki að tengja þessa herferð ótvírætt við Lazarus eða önnur APT.

Þetta er mjög óvenjuleg herferð og við erum enn að greina fyrirliggjandi upplýsingar. Hins vegar, ein staðreynd er skýr: þetta er ógn sem fagfólk þarf að gefa gaum. Það hafði áhrif á tugþúsundir tölva og gat breiðst út á þúsundir ICS tölva, málamiðlun margra iðnaðarstofnana um allan heim. Við munum halda áfram rannsóknum okkar og halda netöryggissamfélaginu uppfærðu.athugasemdir Vyacheslav Kopeytsev, iðnaðaröryggissérfræðingur hjá Kaspersky Lab.

Ég minni á að við ræddum líka um það Vísindamenn uppgötvuðu ALPHV lausnarhugbúnaður skrifaður í Rust.

Merki
Helga Smithdesember 17, 2021Síðast uppfært: desember 17, 2021
104 1 mínútu lestur

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, þar á meðal einn af verktökum Amazon. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn