Kaspersky Lab upptäckte PseudoManuscrypt skadlig kod som attackerar industriorganisationer

Helga Smithdecember 17, 2021Senast uppdaterad: december 17, 2021
104 1 läst minut

Kaspersky ICS CERT-experter upptäckte Smeknamn Manuscrypt skadliga program, som attackerade mer än 35,000 datorer i 195 länder mellan januari 20 och november 10, 2021. Listan över attackerade föremål inkluderar ett betydande antal industri- och statliga organisationer, inklusive företag i det militärindustriella komplexet och forskningslaboratorier.

Forskare säger det åtminstone 7.2% av datorer attackerade av Smeknamn Manuscrypt ingår i industriella automationssystem (ICS) i organisationer inom olika branscher.

Skadlig programvara fick namnet PseudoManuscrypt eftersom dess laddare liknar Manuscrypt skadlig programvara, som är en del av arsenalen av Lasarus hackgrupp.

Manuscrypt

PseudoManuscrypt-nedladdaren kommer in i systemet via Malware-as-a-Service (MaaS) plattform, som distribuerar skadliga installatörer under sken av piratkopierad programvara. I vissa fall, detta hände genom Dum botnet (vars huvudinstallationsprogram också distribueras under sken av piratkopierad programvara).

Google Hitta

Enligt experter, den skadliga huvudmodulen PseudoManuscrypt har många spionfunktioner, inklusive att stjäla VPN-anslutningsdata, loggning av tangenttryckningar, ta skärmdumpar och inspelningar av skärmvideor, spela in ljud från en mikrofon, stjäla data från urklipp och operationssalshändelseloggdata. system (vilket också gör det möjligt att stjäla data om RDP-anslutningar).

Bland de datorer som attackerades finns många ingenjörsmaskiner, inklusive fysiska och 3D-modelleringssystem för utveckling och användning av digitala tvillingar. Detta gjorde det möjligt för experter att anta att ett av de möjliga målen för kampanjen är industrispionage.

Det finns också två fakta i företagets rapport. Först, PseudoManuscrypt-nedladdaren delar likheter med Manuscrypt-nedladdningsprogrammet för skadlig programvara som används av Lazarus i sin 2020 attacker mot försvarsföretag i olika länder. Andra, för att överföra stulen data till angriparna’ server, PseudoManuscrypt använder en implementering av det sällsynta KCP-protokollet, som tidigare bara sågs i skadlig programvara som användes av APT41.

dock, avsaknaden av ett uppenbart fokus i fördelningen av ett stort antal offer, vilket inte är utmärkande för riktade cyberkampanjer, tillåter inte att entydigt länka denna kampanj till Lazarus eller någon annan APT.

Detta är en mycket ovanlig kampanj och vi analyserar fortfarande tillgänglig information. dock, ett faktum är klart: detta är ett hot som proffs måste uppmärksamma. Det påverkade tiotusentals datorer och kunde sprida sig till tusentals ICS-datorer, äventyrar många industriorganisationer runt om i världen. Vi kommer att fortsätta vår forskning och hålla cybersäkerhetsgemenskapen uppdaterad.kommentarer Vyacheslav Kopeytsev, en industriell säkerhetsexpert på Kaspersky Lab.

Låt mig påminna dig om att vi också pratade om det faktum att Forskare upptäckte ALPHV ransomware skriven i Rust.

Taggar
Helga Smithdecember 17, 2021Senast uppdaterad: december 17, 2021
104 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen