ICS-Computer weltweit von Spyware-Kampagne betroffen

Kaspersky_news

Beitrag teilen

Tausende Industrie-Computer waren weltweit von einer Spyware-Kampagne betroffen. 1,6 Prozent der betroffenen ICS-Computer in Deutschland. Die verwendete Malware weist Ähnlichkeiten mit Lazarus auf.

Von Mitte Januar bis Mitte November 2021 beobachteten Kaspersky-Experten eine neue Malware, die mehr als 35.000 Computer in 195 Ländern befallen hat. Die Malware ,PseudoManuscrypt‘ weist Ähnlichkeiten zur ,Manuscrypt‘-Malware der Advanced Persistent Threat (APT)-Gruppe Lazarus auf. Sie verfügt über fortschrittliche Spionagefunktionen und wurde bisher bei Angriffen auf Regierungsorganisationen und industrielle Kontrollsysteme (ICS) entdeckt.

Anzeige

35.000 ICS-Computer betroffen

Industrieunternehmen gehören zu den begehrtesten Zielen von Cyberkriminellen – sowohl aus finanziellen Gründen als auch weil sie viele Informationen zu bieten haben. So zeigten dieses Jahr APT-Gruppen wie Lazarus und APT41 reges Interesse an Industrieunternehmen. Bei der Untersuchung einer Reihe von Angriffen fanden die Experten von Kaspersky eine neue Malware, die gewisse Ähnlichkeiten mit der Malware Manuscrypt von Lazarus aufweist, die im Rahmen der ThreatNeedle-Kampagne dieser Gruppe gegen die Verteidigungsindustrie eingesetzt wurde. Der Name PseudoManuscrypt basiert deshalb auf der Ähnlichkeit der beiden Kampagnen.

Infizierung mit PseudoManuscrypt

PseudoManuscrypt wird zunächst über gefälschte Installationsarchive für raubkopierte Software auf die Systeme der Zielpersonen heruntergeladen, von denen einige für ICS-spezifische Raubkopien bestimmt sind. Diese gefälschten Installationsprogramme werden wohl über eine Malware-as-a-Service-Plattform (MaaS) angeboten, allerdings wurde in einigen Fällen PseudoManuscrypt auch über das berüchtigte Glupteba-Botnet installiert. Nach der Erstinfektion folgt eine komplizierte Infektionskette, über die vermutlich dann das schädliche Hauptmodul heruntergeladen wird.

Die Kaspersky-Experten konnten zwei Varianten dieses Moduls identifizieren, die beide über fortschrittliche Spyware-Funktionen verfügen – einschließlich der Protokollierung von Tastatureingaben, dem Kopieren von Daten aus der Zwischenablage, dem Diebstahl von VPN- (und möglicherweise RDP-) Authentifizierungs- und Verbindungsdaten sowie dem Kopieren von Screenshots.

Industrie im Visier der Hacker und APT-Gruppen

Kaspersky-Produkte blockierten PseudoManuscrypt zwischen dem 20. Januar und dem 10. November 2021 auf mehr als 35.000 Computern in 195 Ländern. Viele der Ziele waren Industrie- und Regierungsorganisationen, einschließlich militärisch-industrieller Unternehmen und Forschungslabors. 7,2 Prozent der angegriffenen Computer waren Teil industrieller Kontrollsysteme (ICS), wobei die Branchen Maschinenbau und Gebäudeautomatisierung am stärksten betroffenen waren. 1,6 Prozent der kompromittierten ICS-Computer und 2,2 Prozent der befallenen sonstigen Rechner befanden sich in Deutschland. Die Angriffe zeigen keine Präferenz für bestimmte Branchen, doch die große Zahl der betroffenen technischen Computer, darunter Systeme, die für 3D- und physische Modellierung und digitale Zwillinge verwendet werden, lässt vermuten, dass Industriespionage ein Ziel sein könnte.

Seltsam ist, dass einige der Betroffenen ICS-Computer Verbindungen zu den Betroffenen der Lazarus-Kampagne haben, über die Kasperskys ICS CERT bereits berichtet hat. Die Daten werden über ein seltenes Protokoll, das eine Bibliothek verwendet, die bisher nur bei der Malware von APT41 zum Einsatz kam, an den Server der Angreifer gesendet. Angesichts der großen Zahl an Betroffenen und dem Fehlen eines eindeutigen Fokus bringt Kaspersky die Kampagne jedoch nicht mit Lazarus oder einem anderen bekannten APT-Bedrohungsakteur in Verbindung.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen