Индустриальные угрозы

PseudoManuscrypt: масштабная серия атак с использованием шпионского ПО

В июне 2021 года эксперты Kaspersky ICS CERT обнаружили вредоносную программу, загрузчик которой был схож с загрузчиком вредоносной программы Manuscrypt, которая входит в арсенал APT группы Lazarus. В 2020 году Lazarus использовали Manuscrypt в атаках на предприятия оборонной промышленности разных стран, подробно эти атаки описаны в отчёте «Lazarus атакует оборонную промышленность с помощью вредоносного ПО ThreatNeedle«.

Любопытно, что для передачи украденных данных на сервер злоумышленников вредоносная программа использует реализацию протокола KCP, которая ранее была замечена только в составе инструментария, используемого группой APT41. Обнаруженное вредоносное ПО получило название PseudoManuscrypt.

Загрузчик PseudoManuscrypt попадает в систему посредством Malware-as-a-Service (MaaS) платформы, которая распространяет вредоносные инсталляторы под видом пиратского ПО. В ряде случаев загрузчик PseudoManuscrypt распространялся через ботнет Glupteba (основной установщик которого также распространяется через MaaS-платформу под видом пиратского ПО). Это означает, что тактика распространения вредоносных программ не демонстрирует какой-либо конкретной направленности.

В период с 20 января по 10 ноября 2021 года продукты «Лаборатории Касперского» заблокировали PseudoManuscrypt на более чем 35 000 компьютеров в 195 странах мира. Такое большое количество атакованных систем не характерно ни для группы Lazarus, ни для APT-атак в целом.

Среди атакованных PseudoManuscrypt значительное число промышленных и государственных организаций, включая предприятия военно-промышленного комплекса и исследовательские лаборатории.

Согласно нашей телеметрии, не менее 7,2% всех компьютеров, атакованных вредоносным ПО PseudoManuscrypt, являются частью систем промышленной автоматизации (АСУ ТП) в организациях различных отраслей – инжиниринг, автоматизация зданий, энергетика, производство, строительство, коммунальные услуги и управление водными ресурсами.

Основной модуль PseudoManuscrypt обладает обширными и разнообразными шпионскими функциями. Кража данных VPN-соединений, регистрация нажатий клавиш, создание снимков и запись видео с экрана, запись звука с микрофона, кража данных из буфера обмена и данных журнала событий операционной системы (что также делает возможным кражу данных о RDP подключениях) и многое другое. По сути, функциональность PseudoManuscrypt предоставляет злоумышленникам практически полный контроль над зараженной системой.

Более подробная информация о PseudoManuscrypt опубликованa на сайте Kaspersky ICS CERT.

PseudoManuscrypt: масштабная серия атак с использованием шпионского ПО

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике