2021年6月,Kaspersky ICS CERT 专家发现了一个恶意软件,其加载程序与 Manuscrypt 恶意软件有一些相似之处,Manuscrypt 是 Lazarus APT 组织的武器库的一部分。2020年,该组织在攻击不同国家的国防企业时使用了Manuscrypt。这些攻击在报告中被描述为[“Lazarus用ThreatNeedle攻击国防工业”](https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/)。
奇怪的是,恶意软件的数据外泄通道使用了 KCP 协议的一个实现,这个实现以前只被看作是 APT41组织工具集的一部分。
我们将新发现的恶意软件命名为 PseudoManuscrypt。
PseudoManuscryptd的加载程序通过一个 MaaS 平台进入用户系统,这个 MaaS 平台在盗版软件安装档案中分发恶意软件。具体举例,PseudoManuscrypt 下载器是通过 Glupteba 僵尸网络安装的,Glupteba 僵尸网络的主要安装程序也是通过盗版软件安装程序分发平台发布的。这意味着,使用PseudoManuscrypt的攻击者所使用的恶意软件分发策略并没有显示出特定的目标。
在2021年1月20日至11月10日期间,卡巴斯基的产品在全球195个国家的35000多台电脑上阻止了 PseudoManuscrypt 恶意软件。如此大量的受攻击系统数量并不是 Lazarus 组织或 APT 组织攻击的特点。
攻击的目标包括大量的工业和政府组织,包括军事工业复合体的企业和研究实验室。
根据我们的遥测数据,至少有7.2% 受到了PseudoManuscrypt的攻击的计算机与工业控制系统有关,而这些系统被工程、智能建筑、能源、制造、建筑、公用事业和水管理等行业的组织所使用。
主要的 PseudoManuscrypt 模块具有广泛而多样的监视功能。它包括盗取 VPN 连接数据、记录按键、截取屏幕截图和视频、用麦克风录音、盗取剪贴板数据和操作系统事件日志数据(这也使盗取 RDP 认证数据成为可能)等等。从本质上讲,PseudoManuscrypt的功能几乎为攻击者提供了对受感染系统的完全控制。
来源:HackerNews