Mã độc PseudoManuscrypt mới lây nhiễm hơn 35,000 máy tính trong năm 2021

Các tổ chức của chính phủ và các ngành công nghiệp, bao gồm cả các tập đoàn ở trong khu liên hợp công nghiệp-quân sự và các phòng thí nghiệm đang là mục tiêu của một loại mã độc botnet mới ( PseudoManyscrypt ) đã lây nhiễm khoảng 35,000 máy tính chạy hệ điều hành Windows chỉ tính riêng trong năm nay.



Các chuyên gia của Kaspersky cho biết biệt danh này tới từ những điểm tương đồng của nó với mã độc Manuscrypt , vốn là một phần trong bộ công cụ tấn công của nhóm Lazarus APT, các chuyên gia mô tả chiến dịch này là “một chiến dịch tấn công mạng quy mô lớn”. Công ty an ninh mạng của Nga cho biết họ đã phát hiện các vụ xâm nhập lần đầu tiên vào tháng 6/2021.



Có ít nhất 7,2% các máy tính bị tấn công bởi mã độc này là một phần của các hệ thống điều khiển công nghiệp (ICS), được sử dụng bởi các tập đoàn trong nhiều lĩnh vực khác nhau như kỹ thuật, chế tạo tự động, năng lượng, gia công, xây dựng, tiện ích và quản lý nguồn nước chủ yếu tại các nước như Ấn Độ, Việt Nam và Nga. Khoảng 1/3 (29,4%) các máy tính không thuộc hệ thống ICS nằm ở nga (10,1%), Ấn Độ (10%) và Brazil (9,3%).



Đội ICS CERT của Karpersky cho biết : “Bộ cài đặt của PseudoManuscrypt xâm nhập vào hệ thống của người dùng thông qua nền tảng MaaS phát tán mã độc trong bộ cài đặt các phần mềm lậu. Một trường hợp đặc biệt cụ thể thì PseudoManuscrypt được cài đặt thông qua mạng botnet Glupteba”.



Trùng hợp là các hoạt động của Glupteba cũng đã phải chịu ảnh hưởng khá lớn sau khi Google ra thông báo vào đầu tháng này rằng họ đang hành động để đánh sập cơ sở hạ tầng của mạng lưới botnet này, cùng với đó sẽ theo đuổi vụ kiện 2 công dân người Nga được cho là điều khiển hệ thống mã độc này cùng với 15 người chưa biết tên khác.



Trong số các bộ cài đặt phần mềm lậu được sử dụng để phát tán botnet gồm có Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer’s Toolset và thậm chí là cả phần mềm antivirus của chính Kaspersky. Việc cài đặt các phần mềm lậu được thúc đẩy sử dụng một phương pháp gọi là đầu độc tìm kiếm (search poisoning), trong đó những kẻ tấn công tạo ra các trang web độc hại và sử dụng chiến thuật tối ưu hóa công cụ tìm kiếm (SEO) để khiến chúng nổi bật lên trong kết quả tìm kiếm.



Một khi được cài đặt, PseudoManuscrypt đi kèm với một loạt khả năng xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị nhiễm. Điều này bao gồm vô hiệu hóa antivirus, đánh cắp dữ liệu kết nối VPN, cài đặt keylog, ghi âm, chụp ảnh và quay video màn hình cũng như can thiệp vào các dữ liệu được lưu trữ ở bộ nhớ tạm.



Kaspersky cho biết rằng họ đã phát hiện hơn 100 phiên bản khác nhau của PseudoManuscrypt, với các phiên bản thử nghiệm đầu tiên xuất hiện từ 27/3/2021. Các thành phần của trojan này đã được mượn từ những malware khác như Fabookie và một thư viện KCP protocol để gửi dữ liệu về máy chủ chỉ huy và điều khiển (C2) của kẻ tấn công được sử dụng bởi nhóm hacker Trung Quốc APT41 .



Các mẫu malware được phân tích bởi ICS CERT cho thấy có các bình luận được viết bằng tiếng Trung Quốc và cũng xác định được rằng tiếng Trung Quốc là ngôn ngữ được chỉ định để sử dụng khi kết nối với máy chủ C2. Tuy nhiên chỉ những bằng chứng này là không đủ để đưa ra kết luận về những kẻ vận hành malware này hoặc nguồn gốc của nó. Một điểm chưa rõ khác đó là mục tiêu cuối cùng của chiến dịch này, điều này làm dấy lên câu hỏi các cuộc tấn công mang động cơ tài chính hay được hỗ trợ bởi các quốc gia.



Các chuyên gia cho biết: “Số lượng lớn máy tính kỹ thuật bị tấn công, bao gồm các hệ thống được sử dụng cho 3D và dựng mô hình vật lý, sự phát triển và sử dụng bản sao kỹ thuật số ảo (digital twins) làm dấy lên lo ngại về vấn đề gián điệp trong ngành công nghiệp như một mục tiêu khả thi của chiến dịch này”.



Theo Thehackernews
The post Mã độc PseudoManuscrypt mới lây nhiễm hơn 35,000 máy tính trong năm 2021 appeared first on SecurityDaily .