Kaspersky Lab wykrył szkodliwe oprogramowanie PseudoManuscrypt, które atakuje organizacje przemysłowe

Helga Smithgrudzień 17, 2021Ostatnio zaktualizowany: grudzień 17, 2021
114 1 minuta przeczytania

Eksperci z Kaspersky ICS CERT wykryli PseudonimManuscrypt złośliwe oprogramowanie, który zaatakował więcej niż 35,000 komputery w 195 kraje od stycznia 20 i listopad 10, 2021. Lista zaatakowanych obiektów obejmuje znaczną liczbę organizacji przemysłowych i rządowych, w tym przedsiębiorstwa kompleksu wojskowo-przemysłowego oraz laboratoria badawcze,.

Naukowcy twierdzą, że przynajmniej 7.2% komputerów zaatakowanych przez PseudonimManuscrypt wchodzą w skład systemów automatyki przemysłowej (ICS) w organizacjach różnych branż.

Szkodnik został nazwany PseudoManuscrypt, ponieważ jego program ładujący jest podobny do Manuskrypt program ładujący złośliwe oprogramowanie, który jest częścią arsenału Łazarz grupa hakerów.

Manuskrypt

Program do pobierania PseudoManuscrypt wchodzi do systemu przez Złośliwe oprogramowanie jako usługa (MaaS) Platforma, która rozpowszechnia złośliwe programy instalacyjne pod przykrywką pirackiego oprogramowania;. W niektórych przypadkach, stało się to przez Głupi botnet (którego główny instalator jest również rozpowszechniany pod przykrywką pirackiego oprogramowania).

Znajdź Google

Według ekspertów, główny złośliwy moduł PseudoManuscrypt posiada wiele funkcji szpiegowskich, w tym kradzież danych połączenia VPN, rejestrowanie naciśnięć klawiszy, robienie zrzutów ekranu i nagrywanie filmów z ekranu, nagrywanie dźwięku z mikrofonu, kradzież danych ze schowka i danych dziennika zdarzeń sali operacyjnej;. systemy (co umożliwia również kradzież danych o połączeniach RDP).

Wśród zaatakowanych komputerów jest wiele maszyn inżynieryjnych, w tym systemy modelowania fizycznego i 3D do rozwoju i wykorzystania cyfrowych bliźniaków. Pozwoliło to ekspertom przypuszczać, że jednym z możliwych celów kampanii jest szpiegostwo przemysłowe.

W raporcie firmy są też dwa fakty. Pierwszy, program do pobierania PseudoManuscrypt ma podobieństwa do narzędzia do pobierania złośliwego oprogramowania Manuscrypt używanego przez Lazarusa w jego 2020 ataki na firmy obronne w różnych krajach. Drugi, przekazywać skradzione dane atakującym’ serwer, PseudoManuscrypt wykorzystuje implementację rzadkiego protokołu KCP, które wcześniej było widoczne tylko w złośliwym oprogramowaniu używanym przez APT41.

jednak, brak wyraźnego skupienia na rozmieszczeniu dużej liczby ofiar, co nie jest charakterystyczne dla ukierunkowanych kampanii cybernetycznych, nie pozwala na jednoznaczne powiązanie tej kampanii z Lazarusem lub jakimkolwiek innym APT.

To bardzo nietypowa kampania i wciąż analizujemy dostępne informacje. jednak, jeden fakt jest jasny: jest to zagrożenie, na które profesjonaliści muszą zwracać uwagę. Dotknął dziesiątki tysięcy komputerów i był w stanie rozprzestrzenić się na tysiące komputerów ICS, narażanie na szwank wielu organizacji przemysłowych na całym świecie. Będziemy kontynuować nasze badania i aktualizować społeczność cyberbezpieczeństwa.uwagi Wiaczesław Kopiejcew, ekspert ds. bezpieczeństwa przemysłowego w Kaspersky Lab.

Przypomnę, że rozmawialiśmy też o tym, że Naukowcy odkryli ALPHV ransomware napisane w języku Rust.

Tagi
Helga Smithgrudzień 17, 2021Ostatnio zaktualizowany: grudzień 17, 2021
114 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry