Индустриальные угрозы

PseudoManuscrypt: масштабная серия атак с использованием шпионского ПО

В июне 2021 года эксперты Kaspersky ICS CERT обнаружили вредоносную программу, загрузчик которой был схож с загрузчиком вредоносной программы Manuscrypt, которая входит в арсенал APT группы Lazarus. В 2020 году Lazarus использовали Manuscrypt в атаках на предприятия оборонной промышленности разных стран, подробно эти атаки описаны в отчёте «Lazarus атакует оборонную промышленность с помощью вредоносного ПО ThreatNeedle«.

Любопытно, что для передачи украденных данных на сервер злоумышленников вредоносная программа использует реализацию протокола KCP, которая ранее была замечена только в составе инструментария, используемого группой APT41. Обнаруженное вредоносное ПО получило название PseudoManuscrypt.

Загрузчик PseudoManuscrypt попадает в систему посредством Malware-as-a-Service (MaaS) платформы, которая распространяет вредоносные инсталляторы под видом пиратского ПО. В ряде случаев загрузчик PseudoManuscrypt распространялся через ботнет Glupteba (основной установщик которого также распространяется через MaaS-платформу под видом пиратского ПО). Это означает, что тактика распространения вредоносных программ не демонстрирует какой-либо конкретной направленности.

В период с 20 января по 10 ноября 2021 года продукты «Лаборатории Касперского» заблокировали PseudoManuscrypt на более чем 35 000 компьютеров в 195 странах мира. Такое большое количество атакованных систем не характерно ни для группы Lazarus, ни для APT-атак в целом.

Среди атакованных PseudoManuscrypt значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории.

Согласно нашей телеметрии, не менее 7,2% всех компьютеров, атакованных вредоносным ПО PseudoManuscrypt, являются частью систем промышленной автоматизации (АСУ ТП) в организациях различных отраслей – инжиниринг, автоматизация зданий, энергетика, производство, строительство, коммунальные услуги и управление водными ресурсами.

Основной модуль PseudoManuscrypt обладает обширными и разнообразными шпионскими функциями. Кража данных VPN-соединений, регистрация нажатий клавиш, создание снимков и запись видео с экрана, запись звука с микрофона, кража данных из буфера обмена и данных журнала событий операционной системы (что также делает возможным кражу данных о RDP подключениях) и многое другое. По сути, функциональность PseudoManuscrypt предоставляет злоумышленникам практически полный контроль над зараженной системой.

Более подробная информация о PseudoManuscrypt опубликованa на сайте Kaspersky ICS CERT.

PseudoManuscrypt: масштабная серия атак с использованием шпионского ПО

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике