Researchers telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.
Peneliti Kaspersky mengatakan pada hari Kamis melaporkan bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran itu menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas, dan pengelolaan air. . Setidaknya 7,2 persen dari semua komputer yang diserang adalah bagian dari ICS, kata peneliti.
Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.
Pemasang Bajakan Palsu
Operator di belakang PseudoManuscrypt menggunakan arsip penginstal perangkat lunak bajakan palsu untuk awalnya unduh spyware ke sistem target.
Pemasang palsu adalah untuk “perangkat lunak khusus ICS, seperti aplikasi yang dirancang untuk membuat Perangkat Master MODBUS untuk menerima data dari PLC [pengontrol logika yang dapat diprogram], serta tujuan umum lainnya perangkat lunak, yang tetap digunakan pada jaringan OT, seperti generator kunci untuk alat SolarWinds untuk insinyur jaringan dan administrator sistem,” kata peneliti. (MaaS) platform yang menawarkannya kepada operator beberapa kampanye jahat, bukan hanya Pseu yang tersebar luas ini doManuscrypt campaign.
Namun, Kaspersky juga membagikan tangkapan layar – ditampilkan di bawah – dari daftar penginstal palsu yang mereka temukan melalui pencarian Google. Pemasang palsu ditemukan melalui pencarian Google. Sumber: Kaspersky.
Kaspersky menguraikan dua varian modul, keduanya dilengkapi dengan kemampuan spyware tingkat lanjut. Satu versi masuk melalui botnet Glupteba yang terkenal: botnet berkekuatan 1 juta yang sulit dihilangkan dari perangkat Windows dan internet of things (IoT) yang disusupi yang diganggu oleh Grup Analisis Ancaman (TAG) Google awal bulan ini.
Ikatan -in with Glupteba adalah petunjuk bahwa PseudoManuscrypt mungkin berasal dari platform MaaS, kata peneliti, mengingat penginstal utama botnet “juga didistribusikan melalui platform distribusi penginstal perangkat lunak bajakan.” kemampuan spyware yang kuat, kata para peneliti. Modul utama PseudoManuscrypt memiliki kit alat lengkap untuk memata-matai segala cara, termasuk, di antara banyak hal lainnya, kemampuan untuk:
<
ul>Mencuri data koneksi VPN
Mencatat penekanan tombol
Ambil tangkapan layar dan mengambil video layar
Menggunakan mikrofon sistem untuk menguping dan merekam suara
Filch clipboard data log OSliuSteal yang juga memungkinkan untuk mencuri data autentikasi Remote Desktop Protocol (RDP). ”
Apakah Ini Sebuah APT Pada Bender?
Untuk sebuah APT, yang satu ini anehnya promiscuous, bagaimana dengan 35.000 serangan pada sistem di seluruh dunia: spread yang tidak menunjukkan bahwa itu ditargetkan. “Sejumlah besar sistem yang diserang bukanlah karakteristik dari kelompok Lazarus atau serangan APT secara keseluruhan,” catat peneliti.
Kampanye PseudoManuscrypt menyerang apa yang mereka sebut “sejumlah besar organisasi industri dan pemerintah, termasuk perusahaan di industri militer. kompleks dan laboratorium penelitian.”
Persamaan dengan Manuscrypt
Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Gambaran lengkapnya tidak mengarah ke Lazarus, namun, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak ditargetkan.
Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus
Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsi itu, peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.
“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”
Perbandingan tabel ekspor PseudoManuscrypt dan Manuscrypt. Sumber: Kaspersky.
Kedua malware juga menggunakan format penamaan file yang dapat dieksekusi serupa.
Nama file yang dapat dieksekusi. Sumber: Kaspersky.
Kesamaan lain antara kedua malware adalah bahwa beberapa organisasi yang diserang oleh PseudoManuscrypt memiliki hubungan bisnis dan produksi dengan korban kampanye Lazarus ThreatNeedle, Kaspersky mencatat.
Sehubungan dengan jangkauan geografis kampanye PseudoManuscrypt, hampir sepertiga – 29,4 persen – komputer non-ICS yang ditargetkan berada di Rusia (10,1 persen), India (10 persen) dan Brasil (9,3 persen), Kaspersky menemukan, yang merupakan distribusi yang mirip dengan untuk komputer ICS.
“The jumlah sistem yang diserang besar dan kami tidak melihat fokus yang jelas pada organisasi industri tertentu,” mereka menyimpulkan. “Namun, fakta bahwa sejumlah besar komputer ICS di seluruh dunia (ratusan menurut telemetri kami saja – dan pada kenyataannya sangat mungkin lebih banyak lagi) telah diserang dalam kampanye ini tentu saja menjadikannya sebagai ancaman yang pantas mendapat perhatian paling dekat. perhatian spesialis yang bertanggung jawab atas keamanan dan keselamatan sistem shop-floor dan operasi berkelanjutannya.”
Siapa di Balik PseudoManuscrypt?
Peneliti mencantumkan petunjuk ini tentang asal usul musuh atau ikatannya:
Beberapa sampel malware berisi komentar dalam bahasa Mandarin dalam metadata file yang dapat dieksekusi.
Data dikirim ke server penyerang menggunakan perpustakaan yang sebelumnya hanya digunakan dalam malware dari grup Cina APT41.
Saat menyambung ke server perintah-dan-kontrol, malware menetapkan bahasa Cina sebagai bahasa pilihan.
File berbahaya berisi kode untuk menghubungkan ke Baidu, penyimpanan cloud Tiongkok yang populer untuk file.
Waktu di mana versi baru pemuat PseudoManuscrypt tersedia e yang diunggah oleh pengembang jatuh dalam interval 11:00 hingga 19:00 di zona waktu GMT+8, di mana beberapa negara Asia Timur dan Asia-Pasifik berada.
Alur Eksekusi
Dalam penelusuran terperinci di situs web ICS-CERT, kata peneliti Kaspersky bahwa alur eksekusi untuk instalasi PseudoManuscrypt memiliki banyak kemungkinan varian, dengan penginstal malware mengunduh dan menjalankan banyak program jahat lainnya, termasuk spyware, backdoors, penambang cryptocurrency, dan adware.
Selain itu, pada setiap tahap, mereka melihat banyak penetes berbeda yang diinstal dan modul diunduh, dengan modul berbeda yang dirancang untuk mencuri data dan setiap modul memiliki server perintah-dan-kontrol (C2) sendiri.
Di bawah ini adalah alur eksekusi untuk salah satu dari dua varian yang ditemukan oleh Kaspersky: yang menggunakan infrastruktur botnet Glupteba dan malware installers.
Alur eksekusi untuk varian yang menggunakan infrastruktur Glpteba dan installer malware. Sumber: Kaspersky.
Researchers menunjuk ke varian lain dari penginstal PseudoManuscrypt yang telah dijelaskan oleh BitDefender yang diunduh menggunakan tautan hxxps://jom[.]diregame[.]live/userf/2201/google-game.exe pada Mei 17, 2021.
“Perlu dicatat bahwa pada waktu yang berbeda tautan dapat digunakan untuk mengunduh malware dari keluarga yang berbeda,” kata Kaspersky.
A Sedikit Penggaruk Kepala
Fakta bahwa entitas industri menggoda target baik untuk musuh yang bermotivasi finansial maupun cyberespionage bukanlah berita, kata Kaspersky dalam menyimpulkan laporannya. “Organisasi industri adalah beberapa target yang paling didambakan oleh penjahat dunia maya baik untuk keuntungan finansial maupun pengumpulan intelijen,” menurut tulisan itu, yang menunjuk pada tahun 2021 setelah melihat “minat yang signifikan pada organisasi industri dari kelompok APT terkenal seperti Lazarus dan APT41.”
APT 41 – alias Barium, Winnti, Wicked Panda atau Wicked Spider – adalah kelompok ancaman terkait China yang dikenal dengan aktivitas spionase siber yang didukung negara-bangsa serta kejahatan siber keuangan.
Tapi Kaspersky mengatakan bahwa mereka tidak dapat mengatakan dengan pasti apakah kampanye PseudoManuscrypt adalah “mengejar tujuan tentara bayaran kriminal atau tujuan yang berhubungan dengan kepentingan beberapa pemerintah.” Namun demikian, “fakta bahwa sistem yang diserang termasuk komputer dari organisasi terkenal di berbagai negara membuat kami menilai tingkat ancamannya tinggi,” kata peneliti.
Mereka menambahkan, “Banyaknya komputer teknik yang diserang, termasuk sistem yang digunakan untuk 3D dan fisik. pemodelan, pengembangan dan penggunaan kembaran digital mengangkat isu spionase industri sebagai salah satu kemungkinan tujuan kampanye.”