Kaspersky Lab heeft PseudoManuscrypt-malware gedetecteerd die industriële organisaties aanvalt

Helga Smithdecember 17, 2021Laatst bijgewerkt: december 17, 2021
104 1 minuut lezen

Kaspersky ICS CERT-experts hebben de BijnaamManuscrypt malware, die meer aanviel dan 35,000 computers in 195 landen tussen januari 20 en november 10, 2021. De lijst met aangevallen objecten bevat een aanzienlijk aantal industriële en overheidsorganisaties, met inbegrip van ondernemingen van het militair-industriële complex en onderzoekslaboratoria.

Onderzoekers zeggen dat tenminste 7.2% van computers aangevallen door BijnaamManuscrypt maken deel uit van industriële automatiseringssystemen (ICS) in organisaties van verschillende industrieën.

De malware kreeg de naam PseudoManuscrypt omdat de lader vergelijkbaar is met de Manuscryptie malware-lader, die deel uitmaakt van het arsenaal van de Lazarus groep hacken.

Manuscryptie

De PseudoManuscrypt-downloader komt het systeem binnen via de: Malware-as-a-Service (MaaS) platform, die kwaadaardige installatieprogramma's verspreidt onder het mom van illegale software. In sommige gevallen, dit gebeurde via de Dom botnet (waarvan het hoofdinstallatieprogramma ook wordt verspreid onder het mom van illegale software).

Google zoeken

Volgens experts, de belangrijkste kwaadaardige module PseudoManuscrypt heeft veel spionagefuncties, inclusief het stelen van VPN-verbindingsgegevens, toetsaanslagen registreren, screenshots en opnames maken van schermvideo's, geluid opnemen van een microfoon, gegevens stelen van het klembord en de loggegevens van de operatiekamer. systemen (waarmee het ook mogelijk is om gegevens over RDP-verbindingen te stelen).

Onder de computers die werden aangevallen, bevinden zich veel technische machines, inclusief fysieke en 3D-modelleringssystemen voor de ontwikkeling en het gebruik van digitale tweelingen. Hierdoor konden experts aannemen dat een van de mogelijke doelen van de campagne industriële spionage is.

Er zijn ook twee feiten in het bedrijfsrapport. Eerste, de PseudoManuscrypt-downloader deelt overeenkomsten met de Manuscrypt-malwaredownloader die door Lazarus wordt gebruikt in zijn 2020 aanvallen op defensiebedrijven in verschillende landen. Seconde, om gestolen gegevens over te dragen aan de aanvallers’ server, PseudoManuscrypt gebruikt een implementatie van het zeldzame KCP-protocol, die voorheen alleen werd gezien in de malware die werd gebruikt door APT41.

Echter, het ontbreken van een duidelijke focus in de verdeling van een groot aantal slachtoffers, wat niet kenmerkend is voor gerichte cybercampagnes, staat niet toe om deze campagne ondubbelzinnig te koppelen aan Lazarus of enige andere APT.

Dit is een zeer ongebruikelijke campagne en we zijn de beschikbare informatie nog aan het analyseren. Echter, één feit is duidelijk: dit is een bedreiging waar professionals op moeten letten. Het trof tienduizenden computers en kon zich verspreiden naar duizenden ICS-computers, waardoor veel industriële organisaties over de hele wereld in gevaar komen. We zullen ons onderzoek voortzetten en de cyberbeveiligingsgemeenschap up-to-date houden.opmerkingen Vjatsjeslav Kopeytsev, een industriële beveiligingsexpert bij Kaspersky Lab.

Laat me je eraan herinneren dat we het ook hadden over het feit dat Onderzoekers ontdekten ALPHV ransomware geschreven in Rust.

Tags
Helga Smithdecember 17, 2021Laatst bijgewerkt: december 17, 2021
104 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop