Sikkerhedsforskere opdagede en ny masse malware-kampagne forbundet med den tidligere kendte Manuscrpypt-indlæser, som er en del af Lazarus APT gruppearsenal. Opdagelsen kommer fra Kasperskys Secure List.
"Nøjsomt, malwarens dataeksfiltreringskanal bruger en implementering af KCP-protokollen, der tidligere kun er set i naturen som en del af APT41-gruppens værktøjssæt. Vi døbte den nyligt identificerede malware PseudoManuscrypt,"Secure List forskere sagde.
Hvad er PseudoManuscrypt Malware?
Den nyligt opdagede malware-indlæser bruger en MaaS (malware-as-a-service) platform til at distribuere sine ondsindede nyttelaster i piratkopierede softwareinstallationsarkiver. En måde, hvorpå malwaren distribuerer sig selv på et system, er via det velkendte Glupteba-botnet. Da både Glupteba og PseudoManuscrypt er afhængige af piratkopieret software til at udbrede sig, forskerne mener, at kampagnen ikke er målrettet og er ret storstilet.
Fra januar 2020 til november 10 2021, mere end 35,000 tilfælde af malware blev blokeret på computere verden over. Det skal bemærkes, at denne type angreb ikke er typisk for Lazarus APT-gruppen, mest kendt for sine målrettede angreb.
Hvem er målrettet? Målene for PseudoManuscrypt-malware omfatter en lang række industrielle og offentlige organisationer, såsom virksomheder i det militær-industrielle kompleks og forskningslaboratorier, rapporten sagde.
Telemetri afslører det i hvert fald 7.2% af alle maskiner, der er kompromitteret af PseudoManuscrypt-malwaren, er en del af industrielle kontrolsystemer (ICS) som organisationer bruger i forskellige brancher, såsom Engineering, Bygningsautomatisering, Energi, Fremstilling, Konstruktion, Hjælpeprogrammer, og Vandforvaltning.
Hvad er formålet med PseudoManuscrypt? Det vigtigste malware-modul ser ud til at være designet til omfattende spyware-funktioner. Det er i stand til at høste VPN-forbindelsesdata, logge tastetryk, optagelse af skærmbilleder og videoer, optage lyd med mikrofonen, stjæle udklipsholderdata og OS hændelseslogdata, blandt andre. I en nøddeskal, angribere kan have fuld kontrol over det kompromitterede system.
FinSpy er en anden yderst kapabel spyware
I september 2021, en anden yderst dygtig spyware blev opdaget i naturen af Kaspersky. Forskerne havde fulgt FinSpys udvikling siden 2011, med et uforklarligt fald i dets detektionshastighed for Windows in 2018. Det var da teamet begyndte at opdage mistænkelige installatører af legitime applikationer, bagdør med en relativt lille uklar downloader.
FinSpy er blevet beskrevet som en højmodulær spyware, der har lagt meget arbejde i. Trusselsaktørerne bag er gået ekstremt langt for at gøre det utilgængeligt for sikkerhedsforskere. Denne indsats er både bekymrende og imponerende. Lige mange kræfter er blevet lagt i tilsløret, anti-analyse, og selve trojaneren.