Kaspersky Lab đã phát hiện phần mềm độc hại PseudoManuscrypt tấn công các tổ chức công nghiệp

Helga SmithTháng mười hai 17, 2021Cập nhật mới nhất: Tháng mười hai 17, 2021
114 1 phút đọc

Các chuyên gia của Kaspersky ICS CERT đã phát hiện ra giảManuscrypt phần mềm độc hại, đã tấn công nhiều hơn 35,000 máy tính trong 195 quốc gia giữa tháng Giêng 20 và tháng 11 10, 2021. Danh sách các đối tượng bị tấn công bao gồm một số lượng đáng kể các tổ chức công nghiệp và chính phủ, bao gồm các doanh nghiệp của tổ hợp công nghiệp quân sự và phòng thí nghiệm nghiên cứu.

Các nhà nghiên cứu nói rằng ít nhất 7.2% máy tính bị tấn công bởi giảManuscrypt là một phần của hệ thống tự động hóa công nghiệp (ICS) trong các tổ chức của các ngành công nghiệp khác nhau.

Phần mềm độc hại được đặt tên là PseudoManuscrypt vì trình tải của nó tương tự như mật mã trình tải phần mềm độc hại, đó là một phần của kho vũ khí của La-xa-rơ nhóm hack.

mật mã

Trình tải xuống PseudoManuscrypt vào hệ thống thông qua Phần mềm độc hại dưới dạng dịch vụ (MaaS) nền tảng, phân phối các trình cài đặt độc hại dưới chiêu bài phần mềm vi phạm bản quyền. Trong vài trường hợp, điều này đã xảy ra thông qua sự ngu ngốc mạng botnet (trình cài đặt chính cũng được phân phối dưới chiêu bài phần mềm vi phạm bản quyền).

Google Tìm

Theo các chuyên gia, mô-đun độc hại chính PseudoManuscrypt có nhiều chức năng gián điệp, bao gồm ăn cắp dữ liệu kết nối VPN, ghi nhật ký tổ hợp phím, chụp ảnh màn hình và quay video màn hình, ghi âm từ micrô, ăn cắp dữ liệu từ bảng tạm và dữ liệu nhật ký sự kiện trong phòng điều hành. hệ thống (điều này cũng cho phép đánh cắp dữ liệu về các kết nối RDP).

Trong số các máy tính bị tấn công có nhiều máy kỹ thuật, bao gồm các hệ thống mô hình vật lý và 3D để phát triển và sử dụng cặp song sinh kỹ thuật số. Điều này cho phép các chuyên gia cho rằng một trong những mục tiêu có thể có của chiến dịch là gián điệp công nghiệp.

Ngoài ra còn có hai sự thật trong báo cáo của công ty. Đầu tiên, trình tải xuống PseudoManuscrypt có những điểm tương đồng với trình tải xuống phần mềm độc hại Manuscrypt được Lazarus sử dụng trong 2020 các cuộc tấn công chống lại các công ty quốc phòng ở các nước khác nhau. Thứ hai, để chuyển dữ liệu bị đánh cắp cho những kẻ tấn công’ máy chủ, PseudoManuscrypt sử dụng triển khai giao thức KCP hiếm, mà trước đây chỉ thấy trong phần mềm độc hại được sử dụng bởi APT41.

Tuy nhiên, sự thiếu tập trung rõ ràng trong việc phân phối một số lượng lớn nạn nhân, không phải là đặc điểm của các chiến dịch mạng được nhắm mục tiêu, không cho phép liên kết rõ ràng chiến dịch này với Lazarus hoặc bất kỳ APT nào khác.

Đây là một chiến dịch rất bất thường và chúng tôi vẫn đang phân tích thông tin có sẵn. Tuy nhiên, một sự thật là rõ ràng: đây là một mối đe dọa mà các chuyên gia cần chú ý. Nó đã ảnh hưởng đến hàng chục nghìn máy tính và có thể lây lan sang hàng nghìn máy tính ICS, làm tổn hại đến nhiều tổ chức công nghiệp trên khắp thế giới. Chúng tôi sẽ tiếp tục nghiên cứu và cập nhật cộng đồng an ninh mạng.bình luận Vyacheslav Kopeytsev, một chuyên gia an ninh công nghiệp tại phòng thí nghiệm kaspersky.

Hãy để tôi nhắc bạn rằng chúng ta cũng đã nói về thực tế là Các nhà nghiên cứu phát hiện ra ALPHV phần mềm tống tiền được viết bằng Rust.

thẻ
Helga SmithTháng mười hai 17, 2021Cập nhật mới nhất: Tháng mười hai 17, 2021
114 1 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Gửi phản hồi

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

Nút quay lại đầu trang