Nový malvér PseudoManuscrypt infikoval v roku 2021 viac ako 35 000 počítačov

Priemyselné a vládne organizácie, vrátane podnikov vo vojensko-priemyselnom komplexe a výskumných laboratórií, sú cieľom nového malvérového botnetu s názvom PseudoManyscrypt ktoré infikovalo približne 35 000 ľudí Windows len tento rok.

Názov pochádza z jeho podobnosti s malvérom Manuscrypt, ktorý je súčasťou sady nástrojov na útoky skupiny Lazarus APT, uviedli výskumníci Kaspersky, pričom operáciu charakterizovali ako „masovú kampaň spywarových útokov“. Ruská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že sériu prienikov prvýkrát odhalila v júni 2021.

Najmenej 7.2% všetkých počítačov napadnutých malvérom je súčasťou priemyselných riadiacich systémov (ICS), ktoré používajú organizácie v sektoroch strojárstva, automatizácie budov, energetiky, výroby, stavebníctva, verejných služieb a vodného hospodárstva, ktoré sa nachádzajú najmä v Indii, Vietname a Rusku. Približne tretina (29.4% počítačov bez ICS sa nachádza v Rusku (10.1%), India (10 %) a Brazília (9.3%).

„Načítač PseudoManuscrypt sa dostáva do používateľských systémov prostredníctvom platformy MaaS, ktorá distribuuje malvér v pirátskych archívoch inštalačného softvéru,“ uviedol tím Kaspersky ICS CERT. “Jedným konkrétnym prípadom distribúcie sťahovača PseudoManuscrypt je jeho inštalácia cez botnet Glupteba.”

Zhodou okolností aj operácie spoločnosti Glupteba zaznamenali výrazný zásah po tom, ako spoločnosť Google začiatkom tohto mesiaca zverejnila, že konala s cieľom rozložiť infraštruktúru botnetu a vedie súdny spor proti dvom ruským štátnym príslušníkom, ktorí údajne spolu s 15 ďalšími nemenovanými osobami spravovali malvér.

Medzi prasknutými inštalátormi, ktoré sa používajú na poháňanie botnetu, patria Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer’s Toolset a dokonca aj vlastné antivírusové riešenie Kaspersky. Inštalácie pirátskeho softvéru sú poháňané metódou nazývanou otrava vyhľadávaním, pri ktorej útočníci vytvárajú škodlivé webové stránky a používajú taktiku optimalizácie pre vyhľadávače (SEO), aby sa zobrazovali na poprednom mieste vo výsledkoch vyhľadávania.

Po nainštalovaní PseudoManuscrypt prichádza s radom rušivých funkcií, ktoré útočníkom umožňujú úplnú kontrolu nad infikovaným systémom. Pozostáva z deaktivácie antivírusových riešení, odcudzenia údajov o pripojení VPN, zaznamenávania stlačení klávesov, nahrávania zvuku, zachytávania snímok obrazovky a videí obrazovky a zachytávania údajov uložených v schránke.

Spoločnosť Kaspersky poznamenala, že identifikovala 100 rôznych verzií zavádzača PseudoManuscrypt, pričom najskoršie testovacie varianty pochádzajú z 27. marca 2021. Komponenty trójskeho koňa boli vypožičané z komoditného malvéru, ako je Fabookie a knižnica protokolov KCP, ktorú používa čínsky APT41. skupina na odosielanie údajov späť na servery príkazov a riadenia (C2) útočníkov.

Vzorky malvéru analyzované ICS CERT obsahovali aj komentáre napísané v čínštine a zistilo sa, že pri pripájaní k serveru C2 sa ako preferovaný jazyk špecifikovala čínština, ale samotné tieto indície neboli presvedčivé na posúdenie operátorov malvéru alebo ich pôvodu. Nejasné sú aj konečné ciele kampane, čo vyvoláva otázky, či sú útoky finančne motivované alebo podporované štátom.

“Veľký počet napadnutých inžinierskych počítačov vrátane systémov používaných na 3D a fyzické modelovanie, vývoj a používanie digitálnych dvojčiat vyvoláva problém priemyselnej špionáže ako jedného z možných cieľov kampane,” uviedli vedci.