Kaspersky Labは、産業組織を攻撃するPseudoManuscryptマルウェアを検出しました

Kaspersky ICSCERTの専門家が NicknameManuscrypt マルウェア, 以上を攻撃した 35,000 のコンピュータ 195 1月の間の国 20 と11月 10, 2021. 攻撃されたオブジェクトのリストには、かなりの数の産業組織および政府組織が含まれています, 軍産複合体や研究所の企業を含む.

研究者は少なくとも 7.2% 攻撃されたコンピュータの数 NicknameManuscrypt 産業用自動化システムの一部です (ICS) さまざまな業界の組織で.

このマルウェアは、ローダーが Manuscrypt マルウェアローダー, これは、の武器庫の一部です ラザロ ハックグループ.

PseudoManuscryptダウンローダーは、 サービスとしてのマルウェア (MaaS) プラットホーム, 海賊版ソフトウェアを装って悪意のあるインストーラーを配布する. ある場合には, これは 愚か ボットネット (そのメインインストーラーも海賊版ソフトウェアを装って配布されています).

専門家によると, 主な悪意のあるモジュールPseudoManuscryptには多くのスパイ機能があります, VPN接続データの盗用を含む, キーストロークの記録, スクリーンショットとスクリーンビデオの録画を撮る, マイクからの録音, クリップボードと手術室のイベントログデータからデータを盗む. システム (これにより、RDP接続に関するデータを盗むことも可能になります).

攻撃されたコンピューターの中には、多くのエンジニアリングマシンがあります, デジタルツインの開発と使用のための物理的および3Dモデリングシステムを含む. これにより、専門家は、キャンペーンの可能なターゲットの1つが産業スパイであると想定することができました。.

会社のレポートには2つの事実もあります. 最初, PseudoManuscryptダウンローダーは、Lazarusが使用するManuscryptマルウェアダウンローダーと類似点を共有しています。 2020 さまざまな国の防衛会社に対する攻撃. 2番, 盗まれたデータを攻撃者に転送する’ サーバ, PseudoManuscryptは、まれなKCPプロトコルの実装を使用します, 以前は、によって使用されたマルウェアでのみ見られました APT41.

しかしながら, 多数の犠牲者の分布に明確な焦点がないこと, これはターゲットを絞ったサイバーキャンペーンの特徴ではありません, このキャンペーンをLazarusまたは他のAPTと明確にリンクすることはできません.

私たちがその事実についても話したことを思い出させてください 研究者は発見した ALPHV Rustで書かれたランサムウェア.