Kaspersky Labは、産業組織を攻撃するPseudoManuscryptマルウェアを検出しました

Kaspersky ICSCERTの専門家が NicknameManuscrypt マルウェア, 以上を攻撃した 35,000 のコンピュータ 195 1月の間の国 20 と11月 10, 2021. 攻撃されたオブジェクトのリストには、かなりの数の産業組織および政府組織が含まれています, 軍産複合体や研究所の企業を含む.

研究者は少なくとも 7.2% 攻撃されたコンピュータの数 NicknameManuscrypt 産業用自動化システムの一部です (ICS) さまざまな業界の組織で.

このマルウェアは、ローダーが Manuscrypt マルウェアローダー, これは、の武器庫の一部です ラザロ ハックグループ.

Manuscrypt

PseudoManuscryptダウンローダーは、 サービスとしてのマルウェア (MaaS) プラットホーム, 海賊版ソフトウェアを装って悪意のあるインストーラーを配布する. ある場合には, これは 愚か ボットネット (そのメインインストーラーも海賊版ソフトウェアを装って配布されています).

Google検索

専門家によると, 主な悪意のあるモジュールPseudoManuscryptには多くのスパイ機能があります, VPN接続データの盗用を含む, キーストロークの記録, スクリーンショットとスクリーンビデオの録画を撮る, マイクからの録音, クリップボードと手術室のイベントログデータからデータを盗む. システム (これにより、RDP接続に関するデータを盗むことも可能になります).

攻撃されたコンピューターの中には、多くのエンジニアリングマシンがあります, デジタルツインの開発と使用のための物理的および3Dモデリングシステムを含む. これにより、専門家は、キャンペーンの可能なターゲットの1つが産業スパイであると想定することができました。.

会社のレポートには2つの事実もあります. 最初, PseudoManuscryptダウンローダーは、Lazarusが使用するManuscryptマルウェアダウンローダーと類似点を共有しています。 2020 さまざまな国の防衛会社に対する攻撃. 2番, 盗まれたデータを攻撃者に転送する’ サーバ, PseudoManuscryptは、まれなKCPプロトコルの実装を使用します, 以前は、によって使用されたマルウェアでのみ見られました APT41.

しかしながら, 多数の犠牲者の分布に明確な焦点がないこと, これはターゲットを絞ったサイバーキャンペーンの特徴ではありません, このキャンペーンをLazarusまたは他のAPTと明確にリンクすることはできません.

これは非常に珍しいキャンペーンであり、現在も入手可能な情報を分析しています. しかしながら, 1つの事実は明らかです: これは専門家が注意を払う必要がある脅威です. それは数万台のコンピューターに影響を及ぼし、数千台のICSコンピューターに広がることができました, 世界中の多くの産業組織を危険にさらす. 私たちは調査を継続し、サイバーセキュリティコミュニティを最新の状態に保ちます.コメント Vyacheslav Kopeytsev, の産業セキュリティの専門家 カスペルスキーラボ.

私たちがその事実についても話したことを思い出させてください 研究者は発見した ALPHV Rustで書かれたランサムウェア.

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン