Kaspersky Lab je odkril zlonamerno programsko opremo PseudoManuscrypt, ki napada industrijske organizacije

Helga Smithdecembra 17, 2021Zadnja posodobitev: decembra 17, 2021
114 1 minutno branje

Strokovnjaki Kaspersky ICS CERT so odkrili PseudoManuscrypt zlonamerna programska oprema, ki je napadel več kot 35,000 računalniki v 195 države med januarjem 20 in novembra 10, 2021. Seznam napadenih objektov vključuje precejšnje število industrijskih in vladnih organizacij, vključno s podjetji vojaško-industrijskega kompleksa in raziskovalnimi laboratoriji.

Tako vsaj pravijo raziskovalci 7.2% napadenih računalnikov PseudoManuscrypt so del sistemov industrijske avtomatizacije (ICS) v organizacijah različnih panog.

Zlonamerno programsko opremo so poimenovali PseudoManuscrypt, ker je njen nalagalnik podoben Manuscrypt nalagalnik zlonamerne programske opreme, ki je del arzenala Lazarja hekerska skupina.

Manuscrypt

Prenosnik PseudoManuscrypt vstopi v sistem prek Zlonamerna programska oprema kot storitev (MaaS) platforma, ki distribuira zlonamerne namestitvene programe pod krinko piratske programske opreme. V nekaterih primerih, to se je zgodilo skozi Neumnost botnet (katerega glavni namestitveni program se prav tako distribuira pod krinko piratske programske opreme).

Google Iskanje

Po mnenju strokovnjakov, glavni zlonamerni modul PseudoManuscrypt ima veliko vohunskih funkcij, vključno s krajo podatkov povezave VPN, beleženje pritiskov tipk, snemanje posnetkov zaslona in video posnetkov zaslona, snemanje zvoka iz mikrofona, kraja podatkov iz odložišča in podatkov dnevnika dogodkov v operacijski sobi. sistemi (kar omogoča tudi krajo podatkov o povezavah RDP).

Med napadenimi računalniki je veliko inženirskih strojev, vključno s sistemi fizičnega in 3D modeliranja za razvoj in uporabo digitalnih dvojčkov. To je strokovnjakom omogočilo domnevo, da je ena od možnih tarč akcije industrijsko vohunjenje.

V poročilu družbe sta tudi dve dejstvi. najprej, prenosnik PseudoManuscrypt ima podobnosti s prenosnikom zlonamerne programske opreme Manuscrypt, ki ga uporablja Lazarus v 2020 napade na obrambna podjetja v različnih državah. drugič, za prenos ukradenih podatkov do napadalcev’ strežnik, PseudoManuscrypt uporablja implementacijo redkega protokola KCP, ki je bil prej viden samo v zlonamerni programski opremi, ki jo uporablja APT41.

Vendar, pomanjkanje očitnega fokusa pri porazdelitvi velikega števila žrtev, kar ni značilno za ciljane kibernetske akcije, ne dovoljuje nedvoumne povezave te kampanje z Lazarusom ali katerim koli drugim APT.

To je zelo nenavadna kampanja in še vedno analiziramo razpoložljive informacije. Vendar, eno dejstvo je jasno: to je grožnja, na katero morajo biti strokovnjaki pozorni. Prizadelo je več deset tisoč računalnikov in se lahko razširilo na tisoče računalnikov ICS, ogroža številne industrijske organizacije po vsem svetu. Nadaljevali bomo naše raziskave in obveščali skupnost kibernetske varnosti.komentarji Vjačeslav Kopejcev, strokovnjak za industrijsko varnost pri Kaspersky Lab.

Naj vas spomnim, da smo govorili tudi o tem, da Raziskovalci so odkrili ALPHV izsiljevalska programska oprema, napisana v Rustu.

Oznake
Helga Smithdecembra 17, 2021Zadnja posodobitev: decembra 17, 2021
114 1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, vključno z enim od Amazonovih izvajalcev. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh