Yeni PseudoManuscrypt Virüs 2021'de 35.000'den Fazla Bilgisayara Bulaştı
Askeri-endüstriyel kompleks ve araştırma laboratuvarlarındaki işletmeler de dahil olmak üzere endüstriyel ve devlet kuruluşları, yalnızca bu yıl yaklaşık 35.000 Windows bilgisayarına bulaşan PseudoManyscrypt adlı yeni bir kötü amaçlı yazılım botnetinin hedefleridir.
Adı, Lazarus APT grubunun saldırı araç setinin bir parçası olan Manuscrypt kötü amaçlı yazılımına olan benzerliklerinden geliyor, dedi Kaspersky araştırmacıları, operasyonu "kitlesel ölçekli bir casus yazılım saldırısı kampanyası" olarak nitelendirdi. Rus siber güvenlik şirketi, ilk olarak Haziran 2021'de bir dizi izinsiz giriş tespit ettiğini söyledi.
Kötü amaçlı yazılım tarafından saldırıya uğrayan tüm bilgisayarların en az %7,2'si, ağırlıklı olarak Hindistan, Vietnam'da bulunan mühendislik, bina otomasyonu, enerji, imalat, inşaat, kamu hizmetleri ve su yönetimi sektörlerindeki kuruluşlar tarafından kullanılan endüstriyel kontrol sistemlerinin (ICS) bir parçasıdır. ve Rusya. ICS olmayan bilgisayarların yaklaşık üçte biri (%29,4) Rusya (%10,1), Hindistan (%10) ve Brezilya'da (%9,3) bulunmaktadır.
Kaspersky ICS CERT ekibi, "PseudoManuscrypt yükleyici, kötü amaçlı yazılımları korsan yazılım yükleyici arşivlerinde dağıtan bir MaaS platformu aracılığıyla kullanıcı sistemlerine giriyor" dedi. "PseudoManuscrypt indiricisinin dağıtımının özel bir örneği, Glupteba botnet aracılığıyla kurulumudur."
Tesadüfen, Glupteba'nın operasyonları, Google'ın daha önce botnet'in altyapısını dağıtmak için hareket ettiğini ve kötü amaçlı yazılımı 15 diğer isimsiz kişiyle birlikte yönettiği iddia edilen iki Rus vatandaşına karşı dava açtığını açıklamasından sonra da önemli bir darbe aldı.
Botnet'i beslemek için kullanılan crackli yükleyiciler arasında Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer'ın Araç Takımı ve hatta Kaspersky'nin kendi antivirüs çözümü yer alıyor. Korsan yazılım yüklemeleri, saldırganların kötü amaçlı web siteleri oluşturduğu ve arama sonuçlarında belirgin bir şekilde görünmelerini sağlamak için arama motoru optimizasyonu (SEO) taktiklerini kullandığı arama zehirlenmesi adı verilen bir yöntemle yürütülür.
PseudoManuscrypt kurulduktan sonra, saldırganların virüslü sistemi tam olarak kontrol etmesine izin veren bir dizi müdahaleci yetenekle birlikte gelir. Bu, virüsten koruma çözümlerini devre dışı bırakmak, VPN bağlantı verilerini çalmak, tuş vuruşlarını günlüğe kaydetmek, ses kaydetmek, ekran görüntülerini ve ekran videolarını yakalamak ve panoda depolanan verileri ele geçirmekten oluşur.
Kaspersky, PseudoManuscrypt yükleyicinin 100 farklı sürümünü belirlediğini ve en erken test varyantlarının 27 Mart 2021'e kadar çıktığını kaydetti. Truva atının bileşenleri, Fabookie gibi ticari amaçlı kötü amaçlı yazılımlardan ve Çin merkezli APT41 tarafından kullanılan bir KCP protokol kitaplığından ödünç alındı. saldırganların komuta ve kontrol (C2) sunucularına veri göndermek için grup.
ICS CERT tarafından analiz edilen kötü amaçlı yazılım örneklerinde ayrıca Çince yazılmış yorumlar yer aldı ve C2 sunucusuna bağlanırken tercih edilen dil olarak Çince'nin belirtildiği bulundu, ancak bu ipuçları tek başına kötü amaçlı yazılımın operatörleri veya kökenleri hakkında bir değerlendirme yapmak için yetersiz kaldı. Ayrıca, saldırıların finansal olarak mı yoksa devlet destekli mi olduğu konusunda soru işaretleri uyandıran kampanyanın nihai hedefleri de belirsiz.
Araştırmacılar, "3D ve fiziksel modelleme için kullanılan sistemler de dahil olmak üzere saldırıya uğrayan çok sayıda mühendislik bilgisayarı, dijital ikizlerin geliştirilmesi ve kullanılması, kampanyanın olası hedeflerinden biri olarak endüstriyel casusluk konusunu gündeme getiriyor" dedi.