Nový malware, který ohrožoval víc než 35 000 počítačů ve 195 zemích, zaznamenali od 20. ledna do 10. listopadu 2021 bezpečnostní experti společnosti Kaspersky. Nazvali jej PseudoManuscrypt kvůli jeho podobnosti s malwarem Manuscrypt skupiny Lazarus, která stojí za pokročilými perzistentními hrozbami (APT). Tento nový malware obsahuje různé špionážní funkce a zaměřuje se na skupinu vládních organizací i průmyslových řídicích systémů (ICS) v mnoha různých odvětvích.
Průmyslové organizace patří mezi nejvyhledávanější cíle kyberzločinců, a to jak kvůli očekávanému finančnímu zisku, tak kvůli shromažďování cenných informací. V roce 2021 jsme zaznamenali značný zájem o průmyslové organizace ze strany známých záškodnických skupin využívajících APT, jako jsou Lazarus a APT41. Při vyšetřování další série útoků odhalili odborníci nový malware, který vykazuje určitou podobnost s malwarem Manuscrypt skupiny Lazarus, speciálním malwarem používaným v její kampani ThreatNeedle proti obrannému průmyslu. Proto jej nazvali PseudoManuscrypt.
Produkty společnosti Kaspersky zablokovaly v období od 20. ledna do 10. listopadu 2021 PseudoManuscrypt víc než na 35 000 počítačích ve 195 zemích. Častými cíli této kampaně byly průmyslové a vládní organizace, včetně vojensko-průmyslových podniků a výzkumných laboratoří. 7,2 % napadených počítačů bylo součástí průmyslových řídicích systémů (ICS), přičemž nejvíc postižená odvětví představovaly strojírenství a automatizace budov.
PseudoManuscrypt se do cílových systémů stahuje prostřednictvím podvržených instalačních archivů pirátského softwaru, maskovaného jako software pro ICS. Je pravděpodobné, že útočníci tyto falešné instalační programy nabízejí prostřednictvím platformy Malware-as-a-Service (MaaS). Zajímavé je, že v některých případech PseudoManuscrypt instalovali pomocí nechvalně známého botnetu Glupteba. Po počáteční infekci se spustí složitý infekční řetězec, který nakonec stáhne hlavní škodlivý modul. Experti společnosti Kaspersky identifikovali dvě varianty tohoto modulu. Obě disponují pokročilými špionážními funkcemi, například pro zaznamenávání stisků kláves, kopírování dat ze schránky, krádež přihlašovacích údajů k virtuálním privátním sítím (VPN) a potenciálně i ke vzdálené ploše (RDP), shromažďování údajů o připojení, kopírování snímků obrazovky atd.
Útoky nepreferují žádná konkrétní průmyslová odvětví, nicméně velký počet napadených systémů pro počítačové projektování, například systémů používaných pro 3D a fyzické modelování nebo pro digitální dvojčata (počítačové modely reálných objektů), naznačuje, že jedním z cílů může být průmyslová špionáž.
Je zvláštní, že některé z obětí mají společné vazby s oběťmi kampaně Lazarus, o které ICS CERT informoval už dříve, a data se na server útočníků odesílají přes neobvyklý protokol využívající knihovnu, která se dřív používala pouze u malwaru skupiny APT41. Vzhledem k velkému počtu obětí a absenci explicitního zaměření však společnost Kaspersky nespojuje tuto kampaň se skupinou Lazarus ani s žádným známým aktérem APT.
TZ
@RadekVyskovsky