卡巴斯基實驗室檢測到攻擊工業組織的 PseudoManuscrypt 惡意軟件
卡巴斯基 ICS CERT 專家檢測到 暱稱Manuscrypt 惡意軟件, 攻擊超過 35,000 電腦在 195 一月之間的國家 20 和十一月 10, 2021. 受攻擊對象列表包括大量工業和政府組織, 包括軍工企業和研究實驗室.
研究人員說,至少 7.2% 被攻擊的計算機 暱稱Manuscrypt 是工業自動化系統的一部分 (ICS) 在各行各業的組織中.
該惡意軟件被命名為 PseudoManuscrypt,因為它的加載程序類似於 Manuscrypt 惡意軟件加載器, 這是武器庫的一部分 拉扎勒斯 黑客組.
PseudoManuscrypt 下載器通過 惡意軟件即服務 (移動即服務) 平台, 以盜版軟件為幌子散佈惡意安裝程序. 在某些情況下, 這發生在通過 愚蠢的 殭屍網絡 (其主要安裝程序也打著盜版軟件的幌子傳播).
據專家介紹, 主要的惡意模塊 PseudoManuscrypt 有很多間諜功能, 包括竊取 VPN 連接數據, 記錄擊鍵, 截屏和錄製屏幕視頻, 從麥克風錄製聲音, 從剪貼板和手術室事件日誌數據中竊取數據. 系統 (這也使得竊取有關 RDP 連接的數據成為可能).
被攻擊的計算機中有很多是工程機器, 包括用於開發和使用數字孿生的物理和 3D 建模系統. 這使專家可以假設該活動的可能目標之一是工業間諜活動.
公司報告中還有兩個事實. 第一, PseudoManuscrypt 下載器與 Lazarus 使用的 Manuscrypt 惡意軟件下載器有相似之處 2020 對各國國防公司的攻擊. 第二, 將竊取的數據傳輸給攻擊者’ 服務器, PseudoManuscrypt 使用罕見的 KCP 協議的實現, 以前只在所使用的惡意軟件中看到過 APT41.
然而, 大量受害者的分佈缺乏明顯的重點, 這不是有針對性的網絡活動的特徵, 不允許明確地將此活動與 Lazarus 或任何其他 APT 聯繫起來.
這是一個非常不尋常的活動,我們仍在分析可用信息. 然而, 一個事實是清楚的: 這是專業人士需要注意的威脅. 它影響了數万台計算機並能夠傳播到數千台 ICS 計算機, 危害世界各地的許多工業組織. 我們將繼續我們的研究並使網絡安全社區保持最新狀態.評論 維亞切斯拉夫·科佩采夫, 工業安全專家 卡巴斯基實驗室.
讓我提醒你,我們還談到了這樣一個事實 研究人員發現 阿爾法 用 Rust 編寫的勒索軟件.