PseudoManuscrypt: toplu ölçekli bir casus yazılım saldırısı
Haziran 2021’de Kaspersky ICS CERT uzmanları, yükleyicisi Lazarus APT grubunun cephaneliğinin bir parçası olan Manuscrypt kötü amaçlı yazılımıyla bazı benzerliklere sahip kötü amaçlı yazılımlar belirledi. 2020’de grup, farklı ülkelerdeki savunma işletmelerine yönelik saldırılarda Manuscrypt’i kullandı. Bu saldırılar “ Lazarus, ThreatNeedle ile savunma sanayisini hedef alıyor ” raporunda anlatılıyor .
İlginç bir şekilde, kötü amaçlı yazılımın veri sızdırma kanalı, daha önce vahşi doğada yalnızca APT41 grubunun araç setinin bir parçası olarak görülen KCP protokolünün bir uygulamasını kullanıyor. Yeni tanımlanan kötü amaçlı yazılımı PseudoManuscrypt olarak adlandırdık.
PseudoManuscrypt yükleyici, kötü amaçlı yazılımları korsan yazılım yükleyici arşivlerinde dağıtan bir MaaS platformu aracılığıyla kullanıcı sistemlerine girer . PseudoManuscrypt indiricisinin dağıtımının özel bir durumu, onun Glupteba botnet (ana yükleyicisi aynı zamanda korsan yazılım yükleyici dağıtım platformu aracılığıyla dağıtılır) aracılığıyla yüklenmesidir. Bu, PseudoManuscrypt’in arkasındaki tehdit aktörü tarafından kullanılan kötü amaçlı yazılım dağıtım taktiklerinin belirli bir hedefleme göstermediği anlamına gelir.
20 Ocak – 10 Kasım 2021 arasındaki dönemde Kaspersky ürünleri, dünyanın 195 ülkesinde 35.000’den fazla bilgisayarda PseudoManuscrypt’i engelledi. Bu kadar çok sayıda saldırıya uğramış sistem, bir bütün olarak Lazarus grubu veya APT saldırılarının özelliği değildir.
PseudoManuscrypt saldırılarının hedefleri arasında, askeri-sanayi kompleksindeki işletmeler ve araştırma laboratuvarları dahil olmak üzere önemli sayıda sanayi ve devlet kuruluşu yer alıyor.
Telemetrimize göre, PseudoManuscrypt kötü amaçlı yazılımı tarafından saldırıya uğrayan tüm bilgisayarların en az %7,2’si Mühendislik, Bina Otomasyonu, Enerji, İmalat, İnşaat, Kamu Hizmetleri ve Su Yönetimi dahil olmak üzere çeşitli sektörlerdeki kuruluşlar tarafından kullanılan endüstriyel kontrol sistemlerinin (ICS) bir parçasıdır. .
Ana PseudoManuscrypt modülü, kapsamlı ve çeşitli casusluk işlevlerine sahiptir. VPN bağlantı verilerinin çalınması, tuşlara basılmasının günlüğe kaydedilmesi, ekran görüntülerinin ve videoların yakalanması, mikrofonla ses kaydı, pano verilerinin ve işletim sistemi olay günlüğü verilerinin çalınması (bu, RDP kimlik doğrulama verilerinin çalınmasını da mümkün kılar) ve çok daha fazlasını içerir. Esasen, PseudoManuscrypt’in işlevselliği, saldırganlara virüslü sistemin neredeyse tam kontrolünü sağlar.
PseudoManuscrypt ilgili daha fazla bilgi Kaspersky ICS CERT web sitesinde.
Metnin aslına ulaşmak için:
https://securelist.com/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/105286/