Askeri-endüstriyel kompleks ve araştırma laboratuvarlarındaki işletmeler de dahil olmak üzere endüstriyel ve devlet kuruluşları, yeni bir kötü amaçlı yazılım botnetinin hedefleridir. SözdeManyscrypt sadece bu yıl kabaca 35.000 Windows bilgisayarına bulaştı.
Adı, benzerliklerinden kaynaklanmaktadır. Manuscrypt kötü amaçlı yazılımLazarus APT grubunun saldırı araç setinin bir parçası olan Kaspersky araştırmacıları, operasyonu “kitlesel ölçekli bir casus yazılım saldırısı kampanyası” olarak nitelendirdi. Rus siber güvenlik şirketi, ilk olarak Haziran 2021’de bir dizi izinsiz giriş tespit ettiğini söyledi.
Kötü amaçlı yazılım tarafından saldırıya uğrayan tüm bilgisayarların en az %7,2’si, ağırlıklı olarak Hindistan, Vietnam’da bulunan mühendislik, bina otomasyonu, enerji, imalat, inşaat, kamu hizmetleri ve su yönetimi sektörlerindeki kuruluşlar tarafından kullanılan endüstriyel kontrol sistemlerinin (ICS) bir parçasıdır. ve Rusya. ICS olmayan bilgisayarların yaklaşık üçte biri (%29,4) Rusya (%10,1), Hindistan (%10) ve Brezilya’da (%9,3) bulunmaktadır.
Kaspersky ICS CERT ekibi, “PseudoManuscrypt yükleyici, kötü amaçlı yazılımları korsan yazılım yükleyici arşivlerinde dağıtan bir MaaS platformu aracılığıyla kullanıcı sistemlerine giriyor” söz konusu. “PseudoManuscrypt indiricisinin dağıtımının özel bir örneği, Glupteba botnet aracılığıyla kurulumudur.”
Tesadüfen, Glupteba’nın operasyonları, Google’ın bu ayın başlarında botnet’in altyapısını dağıtmak için hareket ettiğini ve diğer 15 isimsiz kişiyle birlikte kötü amaçlı yazılımı yönettiği iddia edilen iki Rus vatandaşına karşı dava açtığını açıklamasının ardından önemli bir darbe aldı.
Botnet’i beslemek için kullanılan crackli yükleyiciler arasında Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer’ın Araç Takımı ve hatta Kaspersky’nin kendi antivirüs çözümü yer alıyor. Korsan yazılım kurulumları, bir yöntem aranan arama zehirlenmesi Saldırganların kötü niyetli web siteleri oluşturduğu ve arama sonuçlarında belirgin bir şekilde görünmelerini sağlamak için arama motoru optimizasyonu (SEO) taktiklerini kullandığı.
PseudoManuscrypt kurulduktan sonra, saldırganların virüslü sistemi tam olarak kontrol etmesine izin veren bir dizi müdahaleci yetenekle birlikte gelir. Bu, virüsten koruma çözümlerini devre dışı bırakmak, VPN bağlantı verilerini çalmak, tuş vuruşlarını günlüğe kaydetmek, ses kaydetmek, ekran görüntülerini ve ekran videolarını yakalamak ve panoda depolanan verileri ele geçirmekten oluşur.
Kaspersky, PseudoManuscrypt yükleyicinin 100 farklı versiyonunu tanımladığını ve en erken test varyantlarının 27 Mart 2021’e kadar çıktığını kaydetti. fabookie ve Çin merkezli şirket tarafından kullanılan bir KCP protokol kütüphanesi APT41 saldırganların komuta ve kontrol (C2) sunucularına veri göndermek için grup.
ICS CERT tarafından analiz edilen kötü amaçlı yazılım örneklerinde ayrıca Çince yazılmış yorumlar yer aldı ve C2 sunucusuna bağlanırken tercih edilen dil olarak Çince’nin belirtildiği bulundu, ancak bu ipuçları tek başına kötü amaçlı yazılımın operatörleri veya kökenleri hakkında bir değerlendirme yapmak için yetersiz kaldı. Ayrıca, saldırıların finansal olarak mı yoksa devlet destekli mi olduğu konusunda soru işaretleri uyandıran kampanyanın nihai hedefleri de belirsiz.
Araştırmacılar, “3D ve fiziksel modelleme için kullanılan sistemler de dahil olmak üzere saldırıya uğrayan çok sayıda mühendislik bilgisayarı, dijital ikizlerin geliştirilmesi ve kullanılması, kampanyanın olası hedeflerinden biri olarak endüstriyel casusluk konusunu gündeme getiriyor” dedi.
.
siber-2
