Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

www.tuoitre.vn -   03/01/2022 12:00:00 737

Một khi được cài đặt, PseudoManuscrypt đi kèm với một loạt khả năng xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị nhiễm. Điều này bao gồm vô hiệu hóa antivirus, đánh cắp dữ liệu kết nối VPN, cài đặt keylog, ghi âm, chụp ảnh và quay video màn hình cũng như can thiệp vào các dữ liệu được lưu trữ ở bộ nhớ tạm.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Các tổ chức của chính phủ và các ngành công nghiệp, bao gồm cả các tập đoàn ở trong khu liên hợp công nghiệp-quân sự và các phòng thí nghiệm đang là mục tiêu của một loại mã độc botnet mới (PseudoManyscrypt) đã lây nhiễm khoảng 35,000 máy tính chạy hệ điều hành Windows chỉ tính riêng trong năm nay.

Các chuyên gia của Kaspersky cho biết biệt danh này tới từ những điểm tương đồng của nó với mã độc Manuscrypt, vốn là một phần trong bộ công cụ tấn công của nhóm Lazarus APT, các chuyên gia mô tả chiến dịch này là “một chiến dịch tấn công mạng quy mô lớn”. Công ty an ninh mạng của Nga cho biết họ đã phát hiện các vụ xâm nhập lần đầu tiên vào tháng 6/2021.

Có ít nhất 7,2% các máy tính bị tấn công bởi mã độc này là một phần của các hệ thống điều khiển công nghiệp (ICS), được sử dụng bởi các tập đoàn trong nhiều lĩnh vực khác nhau như kỹ thuật, chế tạo tự động, năng lượng, gia công, xây dựng, tiện ích và quản lý nguồn nước chủ yếu tại các nước như Ấn Độ, Việt Nam và Nga. Khoảng 1/3 (29,4%) các máy tính không thuộc hệ thống ICS nằm ở nga (10,1%), Ấn Độ (10%) và Brazil (9,3%).

Đội ICS CERT của Karpersky cho biết: “Bộ cài đặt của PseudoManuscrypt xâm nhập vào hệ thống của người dùng thông qua nền tảng MaaS phát tán mã độc trong bộ cài đặt các phần mềm lậu. Một trường hợp đặc biệt cụ thể thì PseudoManuscrypt được cài đặt thông qua mạng botnet Glupteba”.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Trùng hợp là các hoạt động của Glupteba cũng đã phải chịu ảnh hưởng khá lớn sau khi Google ra thông báo vào đầu tháng này rằng họ đang hành động để đánh sập cơ sở hạ tầng của mạng lưới botnet này, cùng với đó sẽ theo đuổi vụ kiện 2 công dân người Nga được cho là điều khiển hệ thống mã độc này cùng với 15 người chưa biết tên khác.

Trong số các bộ cài đặt phần mềm lậu được sử dụng để phát tán botnet gồm có Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer’s Toolset và thậm chí là cả phần mềm antivirus của chính Kaspersky. Việc cài đặt các phần mềm lậu được thúc đẩy sử dụng một phương pháp gọi là đầu độc tìm kiếm (search poisoning), trong đó những kẻ tấn công tạo ra các trang web độc hại và sử dụng chiến thuật tối ưu hóa công cụ tìm kiếm (SEO) để khiến chúng nổi bật lên trong kết quả tìm kiếm.

Một khi được cài đặt, PseudoManuscrypt đi kèm với một loạt khả năng xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị nhiễm. Điều này bao gồm vô hiệu hóa antivirus, đánh cắp dữ liệu kết nối VPN, cài đặt keylog, ghi âm, chụp ảnh và quay video màn hình cũng như can thiệp vào các dữ liệu được lưu trữ ở bộ nhớ tạm.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Kaspersky cho biết rằng họ đã phát hiện hơn 100 phiên bản khác nhau của PseudoManuscrypt, với các phiên bản thử nghiệm đầu tiên xuất hiện từ 27/3/2021. Các thành phần của trojan này đã được mượn từ những malware khác như Fabookie và một thư viện KCP protocol để gửi dữ liệu về máy chủ chỉ huy và điều khiển (C2) của kẻ tấn công được sử dụng bởi nhóm hacker Trung Quốc APT41.

Các mẫu malware được phân tích bởi ICS CERT cho thấy có các bình luận được viết bằng tiếng Trung Quốc và cũng xác định được rằng tiếng Trung Quốc là ngôn ngữ được chỉ định để sử dụng khi kết nối với máy chủ C2. Tuy nhiên chỉ những bằng chứng này là không đủ để đưa ra kết luận về những kẻ vận hành malware này hoặc nguồn gốc của nó. Một điểm chưa rõ khác đó là mục tiêu cuối cùng của chiến dịch này, điều này làm dấy lên câu hỏi các cuộc tấn công mang động cơ tài chính hay được hỗ trợ bởi các quốc gia.

Các chuyên gia cho biết: “Số lượng lớn máy tính kỹ thuật bị tấn công, bao gồm các hệ thống được sử dụng cho 3D và dựng mô hình vật lý, sự phát triển và sử dụng bản sao kỹ thuật số ảo (digital twins) làm dấy lên lo ngại về vấn đề gián điệp trong ngành công nghiệp như một mục tiêu khả thi của chiến dịch này”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 125
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 694
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 1.458
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 998
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 874
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 740
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ