Тисячі промислових комп’ютерів у всьому світі постраждали від кампанії шпигунського програмного забезпечення. 1,6 відсотка постраждалих комп’ютерів ICS у Німеччині. Використане шкідливе програмне забезпечення схоже на Lazarus.
З середини січня до середини листопада 2021 року фахівці Kaspersky спостерігали за новими шкідливими програмами, які заразили понад 35.000 тис. комп’ютерів у 195 країнах. Зловмисне програмне забезпечення «PseudoManuscrypt» схоже на зловмисне програмне забезпечення «Manuscrypt» групи Lazarus із розширеними стійкими загрозами (APT). Він має розширені шпигунські можливості і наразі був виявлений під час атак на урядові організації та промислові системи контролю (ICS).
Постраждало 35.000 XNUMX комп'ютерів ICS
Промислові компанії є одними з найбільш затребуваних цілей для кіберзлочинців - як з фінансових причин, так і через те, що вони можуть запропонувати багато інформації. Цього року активний інтерес до промислових компаній виявили групи APT, такі як Lazarus і APT41. Розслідуючи серію атак, експерти Kaspersky виявили нову частину шкідливого програмного забезпечення, яке має певну схожість зі шкідливим програмним забезпеченням Manuscrypt від Lazarus, яке використовувалося як частина кампанії цієї групи ThreatNeedle проти оборонної промисловості. Тому назва PseudoManuscrypt заснована на подібності двох кампаній.
Зараження PseudoManuscrypt
PseudoManuscrypt спочатку завантажується в цільові системи через підроблені архіви встановлення піратського програмного забезпечення, деякі з яких розроблені для піратського програмного забезпечення, специфічного для ICS. Ці підроблені інсталятори, ймовірно, пропонуються через платформу Malware-as-a-Service (MaaS), однак у деяких випадках PseudoManuscrypt також встановлюється через сумнозвісний ботнет Glupteba. Після початкового зараження слідує складний ланцюжок зараження, через який потім, ймовірно, завантажується шкідливий головний модуль.
Фахівцям Kaspersky вдалося ідентифікувати два варіанти цього модуля, обидва з яких мають розширені можливості шпигунського програмного забезпечення, включаючи реєстрацію натискань клавіш, копіювання даних із буфера обміну, крадіжку VPN (і, можливо, RDP) автентифікації та даних підключення, а також копіювання скріншотів.
Галузь, на яку націлені хакери та групи APT
Продукти Касперського заблокували PseudoManuscrypt у період з 20 січня по 10 листопада 2021 року на понад 35.000 195 комп’ютерів у 7,2 країнах. Багато цілей були промислові та державні організації, у тому числі військово-промислові компанії та дослідницькі лабораторії. 1,6 відсотка атакованих комп’ютерів були частиною промислових систем управління (ICS), причому найбільше постраждали галузі машинобудування та автоматизації будівель. 2,2 відсотка скомпрометованих комп’ютерів ICS і 3 відсотка інших постраждалих комп’ютерів були в Німеччині. Атаки не демонструють галузевих переваг, але велика кількість постраждалих технічних комп’ютерів, включаючи системи, що використовуються для XNUMXD і фізичного моделювання та цифрові двійники, припускають, що метою може бути промислове шпигунство.
Дивним є те, що деякі з уражених комп’ютерів ICS пов’язані з жертвами кампанії Lazarus, про що раніше повідомляв Kaspersky ICS CERT. Дані надсилаються на сервер зловмисників через рідкісний протокол, який використовує бібліотеку, яка раніше використовувалася лише шкідливим програмним забезпеченням APT41. Однак, враховуючи велику кількість жертв і відсутність чіткої спрямованості, Kaspersky не пов’язує кампанію з Lazarus або будь-яким іншим відомим загрозою APT.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/