Beveiligingsonderzoekers hebben een nieuwe massale malwarecampagne ontdekt die is gekoppeld aan de eerder bekende Manuscrpypt-lader, dat deel uitmaakt van het Lazarus APT-groepsarsenaal. De ontdekking komt van Kaspersky's Secure List.
"Nieuwsgierig", het data-exfiltratiekanaal van de malware maakt gebruik van een implementatie van het KCP-protocol dat voorheen alleen in het wild werd gezien als onderdeel van de toolset van de APT41-groep. We noemden de nieuw geïdentificeerde malware PseudoManuscrypt,"Beveiligde lijst-onderzoekers zeiden:".
Wat is PseudoManuscrypt-malware??
De nieuw gedetecteerde malware-loader gebruikt een MaaS (malware-as-a-service) platform om zijn kwaadaardige payloads te verspreiden in archieven van illegale software-installatieprogramma's. Een manier waarop de malware zichzelf op een systeem verspreidt, is via het bekende Glupteba-botnet. Aangezien zowel Glupteba als PseudoManuscrypt afhankelijk zijn van illegale software om zich te verspreiden, de onderzoekers zijn van mening dat de campagne niet gericht is en vrij grootschalig is.
Vanaf januari 2020 tot november 10 2021, meer dan 35,000 exemplaren van de malware werden wereldwijd op computers geblokkeerd. Opgemerkt moet worden dat dit type aanval niet typisch is voor de Lazarus APT-groep, vooral bekend om zijn gerichte aanvallen.
Wie is gericht? Het doelwit van PseudoManuscrypt-malware is een groot aantal industriële en overheidsorganisaties, zoals ondernemingen in het militair-industriële complex en onderzoekslaboratoria, het verslag zei.
Telemetrie onthult dat tenminste 7.2% van alle door de PseudoManuscrypt-malware aangetaste machines maken deel uit van industriële controlesystemen (ICS) die organisaties in verschillende industrieën gebruiken, zoals Engineering, Domotica, Energie, productie, Bouw, nutsbedrijven, en waterbeheer.
Wat is het doel van PseudoManuscrypt?? De belangrijkste malwaremodule lijkt te zijn ontworpen voor uitgebreide spywarefunctionaliteiten. Het is in staat om VPN-verbindingsgegevens te verzamelen, toetsaanslagen registreren, screenshots en video's vastleggen, geluid opnemen met de microfoon, het stelen van klembordgegevens en OS-gebeurtenislogboekgegevens, onder andere. In een notendop, aanvallers kunnen volledige controle hebben over het gecompromitteerde systeem.
FinSpy is een andere zeer capabele spyware
In september 2021, een andere zeer capabele spyware werd in het wild gedetecteerd door Kaspersky. De onderzoekers volgden de ontwikkeling van FinSpy sinds 2011, met een onverklaarbare afname van de detectiegraad voor Windows in 2018. Dit is het moment waarop het team verdachte installatieprogramma's van legitieme applicaties begon te detecteren, backdoored met een relatief kleine versluierde downloader.
FinSpy is beschreven als: een zeer modulaire spyware, waar veel werk in zit. De dreigingsactoren erachter hebben zich tot het uiterste ingespannen om het ontoegankelijk te maken voor beveiligingsonderzoekers. Deze inspanning is zowel zorgwekkend als indrukwekkend. Er is evenveel moeite gestoken in verduistering, anti-analyse, en de trojan zelf.