Kaspersky Lab oppdaget skadelig programvare PseudoManuscrypt som angriper industrielle organisasjoner

Kaspersky ICS CERT-eksperter oppdaget KallenavnManuscrypt malware, som angrep flere enn 35,000 datamaskiner inn 195 land mellom januar 20 og november 10, 2021. Listen over angrepne objekter inkluderer et betydelig antall industrielle og statlige organisasjoner, inkludert virksomheter i det militærindustrielle komplekset og forskningslaboratorier.

Forskere sier det i hvert fall 7.2% av datamaskiner angrepet av KallenavnManuscrypt er en del av industrielle automasjonssystemer (ICS) i organisasjoner i ulike bransjer.

Skadevaren ble kalt PseudoManuscrypt fordi lasteren ligner på Manuscrypt malware loader, som er en del av arsenalet til Lasarus hack gruppe.

Manuscrypt

PseudoManuscrypt-nedlasteren kommer inn i systemet gjennom Malware-as-a-Service (MaaS) plattform, som distribuerer ondsinnede installatører under dekke av piratkopiert programvare. I noen tilfeller, dette skjedde gjennom Dum botnet (hovedinstallasjonsprogrammet som også distribueres under dekke av piratkopiert programvare).

Google Finn

Ifølge eksperter, den ondsinnede hovedmodulen PseudoManuscrypt har mange spionfunksjoner, inkludert å stjele VPN-tilkoblingsdata, logging av tastetrykk, ta skjermbilder og opptak av skjermvideoer, ta opp lyd fra en mikrofon, stjele data fra utklippstavlen og hendelsesloggdata for operasjonsrommet. systemer (som også gjør det mulig å stjele data om RDP-forbindelser).

Blant datamaskinene som ble angrepet er mange ingeniørmaskiner, inkludert fysiske og 3D-modelleringssystemer for utvikling og bruk av digitale tvillinger. Dette tillot eksperter å anta at et av de mulige målene for kampanjen er industrispionasje.

Det er også to fakta i selskapets rapport. Først, PseudoManuscrypt-nedlasteren deler likheter med Manuscrypt-malware-nedlasteren brukt av Lazarus i sin 2020 angrep mot forsvarsselskaper i ulike land. Sekund, å overføre stjålne data til angriperne’ server, PseudoManuscrypt bruker en implementering av den sjeldne KCP-protokollen, som tidligere bare ble sett i skadelig programvare som ble brukt av APT41.

derimot, mangelen på et åpenbart fokus i fordelingen av et stort antall ofre, som ikke er karakteristisk for målrettede cyberkampanjer, tillater ikke entydig kobling av denne kampanjen med Lazarus eller noen annen APT.

Dette er en veldig uvanlig kampanje og vi analyserer fortsatt tilgjengelig informasjon. derimot, ett faktum er klart: dette er en trussel som fagfolk må ta hensyn til. Det påvirket titusenvis av datamaskiner og kunne spre seg til tusenvis av ICS-datamaskiner, kompromittere mange industrielle organisasjoner rundt om i verden. Vi vil fortsette forskningen vår og holde nettsikkerhetssamfunnet oppdatert.kommentarer Vyacheslav Kopeytsev, en industriell sikkerhetsekspert på Kaspersky Lab.

La meg minne deg på at vi også snakket om det faktum Forskere oppdaget ALPHV løsepengevare skrevet i Rust.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen