2021年6月，Kaspersky ICS CERT 专家发现了一个恶意软件，其加载程序与 Manuscrypt 恶意软件有一些相似之处，Manuscrypt 是 Lazarus APT 组织的武器库的一部分。2020年，该组织在攻击不同国家的国防企业时使用了Manuscrypt。这些攻击在报告中被描述为[“Lazarus用ThreatNeedle攻击国防工业”](https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/)。

奇怪的是，恶意软件的数据外泄通道使用了 KCP 协议的一个实现，这个实现以前只被看作是 APT41组织工具集的一部分。

我们将新发现的恶意软件命名为 PseudoManuscrypt。

PseudoManuscryptd的加载程序通过一个 MaaS 平台进入用户系统，这个 MaaS 平台在盗版软件安装档案中分发恶意软件。具体举例，PseudoManuscrypt 下载器是通过 Glupteba 僵尸 *** 安装的，Glupteba 僵尸 *** 的主要安装程序也是通过盗版软件安装程序分发平台发布的。这意味着，使用PseudoManuscrypt的攻击者所使用的恶意软件分发策略并没有显示出特定的目标。

在2021年1月20日至11月10日期间，卡巴斯基的产品在全球195个国家的35000多台电脑上阻止了 PseudoManuscrypt 恶意软件。如此大量的受攻击系统数量并不是 Lazarus 组织或 APT 组织攻击的特点。

攻击的目标包括大量的工业和 *** 组织，包括军事工业复合体的企业和研究实验室。

根据我们的遥测数据，至少有7.2% 受到了PseudoManuscrypt的攻击的计算机与工业控制系统有关，而这些系统被工程、智能建筑、能源、制造、建筑、公用事业和水管理等行业的组织所使用。

主要的 PseudoManuscrypt 模块具有广泛而多样的监视功能。它包括盗取 VPN 连接数据、记录按键、截取屏幕截图和视频、用麦克风录音、盗取剪贴板数据和操作系统事件日志数据(这也使盗取 RDP 认证数据成为可能)等等。从本质上讲，PseudoManuscrypt的功能几乎为攻击者提供了对受感染系统的完全控制。

更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1790/

消息来源：Kaspersky，封面来自 *** ，译者：Zoeppo。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。