Dal 20 gennaio al 10 novembre 2021, gli esperti di #Kaspersky hanno scoperto un nuovo malware che ha preso di mira più di 35.000 #computer in 195 Paesi. Soprannominato "PseudoManuscrypt" per le similitudini con il malware Manuscrypt del gruppo APT Lazarus, questo nuovo malware possiede capacità di spionaggio avanzate e ha preso di mira sia le organizzazioni governative che i sistemi di controllo industriale (ICS) in diversi settori.
Le organizzazioni industriali sono uno dei principali obiettivi per i criminali informatici, sia per il potenziale guadagno economico che per la tipologia di dati che si possono ottenere. Nel 2021, infatti, è stato registrato un notevole interesse per le organizzazioni industriali da parte di noti gruppi APT come Lazarus e APT41. Nel corso di alcune indagini su un'altra serie di attacchi, gli esperti di #Kaspersky hanno scoperto un nuovo malware simile a quello denominato "Manuscrypt". Si tratta di un malware del gruppo Lazarus utilizzato nella campagna ThreatNeedle rivolta alle organizzazioni per la difesa. Date le somiglianze, questo secondo malware è stato soprannominato PseudoManuscrypt.
Dal 20 gennaio al 10 novembre 2021, i prodotti #Kaspersky hanno bloccato PseudoManuscrypt su oltre 35.000 #computer in 195 Paesi. Tra gli obiettivi rilevati: organizzazioni industriali e governative, comprese organizzazioni militari e i laboratori di ricerca. Il 7,2% dei #computer attaccati faceva parte di sistemi di controllo industriale (ICS), e le industrie più colpite sono state quelle di ingegneria e domotica.
Inizialmente, il download di PseudoManuscrypt avveniva sui sistemi delle vittime tramite falsi installer di software pirata, alcuni dei quali sono specifici per software ICS. È probabile che questi falsi programmi di installazione vengano offerti tramite una piattaforma Malware-as-a-Service (MaaS). In alcuni casi, PseudoManuscrypt è stato installato tramite la già nota botnet Glupteba. Dopo l'infezione iniziale, veniva avviata una complicata catena di infezioni che conduceva al download del modulo dannoso principale. Gli esperti di #Kaspersky hanno identificato due varianti di questo modulo. Entrambe sono in grado di offrire funzionalità avanzate di spyware, tra cui la registrazione delle sequenze di tasti, la copia delle informazioni dagli appunti, il furto di credenziali di autenticazione VPN (e potenzialmente RDP), credenziali di accesso, screenshot, e altro ancora. Gli attacchi non mostrano particolari preferenze per specifici settori, tuttavia, il gran numero di #computer attaccati nel settore ingegneristico, compresi i sistemi utilizzati per la modellazione 3D e fisica e i digital twin, suggerisce che lo spionaggio industriale potrebbe essere uno degli obiettivi.
Stranamente, alcune delle vittime sono legate agli obiettivi della campagna Lazarus come rilevato precedentemente da ICS CERT , e i dati vengono inviati al server degli attaccanti su un protocollo raro che utilizza una libreria utilizzata precedentemente solo con il malware di APT41. Tuttavia, tenuto conto del gran numero di vittime e della mancanza di un focus esplicito, #Kaspersky non collega la campagna a Lazarus o ad altri threat actor APT conosciuti.
“Si tratta di una campagna molto insolita. Stiamo ancora raccogliendo le varie informazioni che abbiamo a disposizione. Tuttavia, una cosa è chiara: questa è una minaccia a cui gli esperti devono prestare attenzione. È stata in grado di arrivare a migliaia di #computer ICS, incluse molte organizzazioni di alto profilo. Continueremo le nostre indagini, tenendo informata la comunità di sicurezza su eventuali nuove scoperte", ha commentato Vyacheslav Kopeytsev, security expert di #Kaspersky.
Maggiori informazioni sulla campagna PseudoManuscrypt sono disponibili sul sito ICS CERT.
Per proteggersi da PseudoManuscrypt, gli esperti di #Kaspersky raccomandano di:
© Copyright 2024