卡巴斯基实验室检测到攻击工业组织的 PseudoManuscrypt 恶意软件
卡巴斯基 ICS CERT 专家检测到 昵称Manuscrypt 恶意软件, 攻击超过 35,000 电脑在 195 一月之间的国家 20 和十一月 10, 2021. 受攻击对象列表包括大量工业和政府组织, 包括军工企业和研究实验室.
研究人员说,至少 7.2% 被攻击的计算机 昵称Manuscrypt 是工业自动化系统的一部分 (ICS) 在各行各业的组织中.
该恶意软件被命名为 PseudoManuscrypt,因为它的加载程序类似于 Manuscrypt 恶意软件加载器, 这是武器库的一部分 拉撒路 黑客组.
PseudoManuscrypt 下载器通过 恶意软件即服务 (移动即服务) 平台, 以盗版软件为幌子散布恶意安装程序. 在某些情况下, 这发生在通过 愚蠢的 僵尸网络 (其主要安装程序也打着盗版软件的幌子传播).
据专家介绍, 主要的恶意模块 PseudoManuscrypt 有很多间谍功能, 包括窃取 VPN 连接数据, 记录击键, 截取屏幕截图和录制屏幕视频, 从麦克风录制声音, 从剪贴板和手术室事件日志数据中窃取数据. 系统 (这也使得窃取有关 RDP 连接的数据成为可能).
被攻击的计算机中有很多是工程机器, 包括用于开发和使用数字孪生的物理和 3D 建模系统. 这使专家能够假设该活动的可能目标之一是工业间谍活动.
公司报告中还有两个事实. 第一, PseudoManuscrypt 下载器与 Lazarus 使用的 Manuscrypt 恶意软件下载器有相似之处 2020 对各国国防公司的攻击. 第二, 将窃取的数据传输给攻击者’ 服务器, PseudoManuscrypt 使用罕见的 KCP 协议的实现, 以前只在所使用的恶意软件中看到过 APT41.
然而, 大量受害者的分布缺乏明显的重点, 这不是有针对性的网络活动的特征, 不允许明确地将此活动与 Lazarus 或任何其他 APT 联系起来.
这是一个非常不寻常的活动,我们仍在分析可用信息. 然而, 一个事实是清楚的: 这是专业人士需要注意的威胁. 它影响了数万台计算机并能够传播到数千台 ICS 计算机, 危害世界各地的许多工业组织. 我们将继续我们的研究并使网络安全社区保持最新状态.评论 维亚切斯拉夫·科佩采夫, 工业安全专家 卡巴斯基实验室.
让我提醒你,我们还谈到了这样一个事实 研究人员发现 阿尔法 用 Rust 编写的勒索软件.
