導讀
近日,據卡巴斯基研究人員報告稱,全世界數以萬計的裝置,包括許多工業控制系統 (ICS)和政府組織,都受到了 PseudoManuscrypt 間諜軟體的攻擊。
詳情
PseudoManuscrypt這個名字 來源于與 北韓有關聯的Lazarus APT 組織在針對國防工業的攻擊中使用的Manuscrypt 惡意軟體有着相似之處 。
據專家透露,PseudoManuscrypt 惡意軟體針對的所有系統中,至少有 7.2% 是多個行業組織使用的工業控制系統 (ICS) 的一部分,包括工程、能源、制造、建築、公用事業和水管理等。
2021 年 1 月至 11 月期間,該惡意軟體攻擊了 195 個國家/地區的至少 35,000 個系統,這在行為者進行的針對性攻擊中并不常見。
PseudoManuscrypt 加載程式通過惡意軟體即服務 (MaaS) 平台提供,該平台将惡意代碼分發到盜版軟體安裝程式存檔中。專家還觀察到通過Glupteba僵屍網絡分發的間諜軟體。
PseudoManuscrypt 支援廣泛的間諜功能,例如竊取 VPN 連接配接資料、記錄按鍵記錄、捕獲螢幕截圖和視訊、使用麥克風錄音、竊取剪貼闆資料和作業系統事件日志資料(這也使得竊取 RDP 身份驗證資料可能),等等。
近三分之一 (29.4%) 的惡意軟體針對的非 ICS 計算機位于俄羅斯 (10.1%)、印度 (10%) 和巴西 (9.3%),而被間諜軟體攻擊的大部分 ICS 計算機位于印度、越南和俄羅斯。
間諜軟體使用 KCP 協定連接配接到 C2 伺服器,這對于惡意軟體來說并不常見。過去,與我國有關的APT41曾使用 KCP 協定攻擊工業組織。
研究人員還注意到,惡意軟體樣本還包含中文評論,并且間諜軟體連接配接到百度雲存儲服務。PseudoManuscrypt 将中文設定為聯系 C&C 伺服器時的首選語言。
盡管收集和分析了大量資料,但許多發現仍然無法解釋,并且不符合任何已知方案。是以目前還不能确定該運動是追求犯罪的雇傭軍目标還是與某些政府的利益相關的目标。
盡管如此,被攻擊的系統包括不同國家知名組織的計算機這一事實使我們評估的威脅級别很高。大量工程計算機受到攻擊,包括用于 3D 和實體模組化的系統,數字孿生的開發和使用将工業間諜問題列為該活動的可能目标之一。
注:本文由E安全編譯報道。
![Flipkart發家史:在質疑聲中領跑亞馬遜[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)