Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

www.tuoitre.vn -   03/01/2022 12:00:00 179

Một khi được cài đặt, PseudoManuscrypt đi kèm với một loạt khả năng xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị nhiễm. Điều này bao gồm vô hiệu hóa antivirus, đánh cắp dữ liệu kết nối VPN, cài đặt keylog, ghi âm, chụp ảnh và quay video màn hình cũng như can thiệp vào các dữ liệu được lưu trữ ở bộ nhớ tạm.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Các tổ chức của chính phủ và các ngành công nghiệp, bao gồm cả các tập đoàn ở trong khu liên hợp công nghiệp-quân sự và các phòng thí nghiệm đang là mục tiêu của một loại mã độc botnet mới (PseudoManyscrypt) đã lây nhiễm khoảng 35,000 máy tính chạy hệ điều hành Windows chỉ tính riêng trong năm nay.

Các chuyên gia của Kaspersky cho biết biệt danh này tới từ những điểm tương đồng của nó với mã độc Manuscrypt, vốn là một phần trong bộ công cụ tấn công của nhóm Lazarus APT, các chuyên gia mô tả chiến dịch này là “một chiến dịch tấn công mạng quy mô lớn”. Công ty an ninh mạng của Nga cho biết họ đã phát hiện các vụ xâm nhập lần đầu tiên vào tháng 6/2021.

Có ít nhất 7,2% các máy tính bị tấn công bởi mã độc này là một phần của các hệ thống điều khiển công nghiệp (ICS), được sử dụng bởi các tập đoàn trong nhiều lĩnh vực khác nhau như kỹ thuật, chế tạo tự động, năng lượng, gia công, xây dựng, tiện ích và quản lý nguồn nước chủ yếu tại các nước như Ấn Độ, Việt Nam và Nga. Khoảng 1/3 (29,4%) các máy tính không thuộc hệ thống ICS nằm ở nga (10,1%), Ấn Độ (10%) và Brazil (9,3%).

Đội ICS CERT của Karpersky cho biết: “Bộ cài đặt của PseudoManuscrypt xâm nhập vào hệ thống của người dùng thông qua nền tảng MaaS phát tán mã độc trong bộ cài đặt các phần mềm lậu. Một trường hợp đặc biệt cụ thể thì PseudoManuscrypt được cài đặt thông qua mạng botnet Glupteba”.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Trùng hợp là các hoạt động của Glupteba cũng đã phải chịu ảnh hưởng khá lớn sau khi Google ra thông báo vào đầu tháng này rằng họ đang hành động để đánh sập cơ sở hạ tầng của mạng lưới botnet này, cùng với đó sẽ theo đuổi vụ kiện 2 công dân người Nga được cho là điều khiển hệ thống mã độc này cùng với 15 người chưa biết tên khác.

Trong số các bộ cài đặt phần mềm lậu được sử dụng để phát tán botnet gồm có Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer’s Toolset và thậm chí là cả phần mềm antivirus của chính Kaspersky. Việc cài đặt các phần mềm lậu được thúc đẩy sử dụng một phương pháp gọi là đầu độc tìm kiếm (search poisoning), trong đó những kẻ tấn công tạo ra các trang web độc hại và sử dụng chiến thuật tối ưu hóa công cụ tìm kiếm (SEO) để khiến chúng nổi bật lên trong kết quả tìm kiếm.

Một khi được cài đặt, PseudoManuscrypt đi kèm với một loạt khả năng xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị nhiễm. Điều này bao gồm vô hiệu hóa antivirus, đánh cắp dữ liệu kết nối VPN, cài đặt keylog, ghi âm, chụp ảnh và quay video màn hình cũng như can thiệp vào các dữ liệu được lưu trữ ở bộ nhớ tạm.

Trong năm 2021, hơn 35 ngàn máy tính bị nhiễm mã độc PseudoManuscrypt

Kaspersky cho biết rằng họ đã phát hiện hơn 100 phiên bản khác nhau của PseudoManuscrypt, với các phiên bản thử nghiệm đầu tiên xuất hiện từ 27/3/2021. Các thành phần của trojan này đã được mượn từ những malware khác như Fabookie và một thư viện KCP protocol để gửi dữ liệu về máy chủ chỉ huy và điều khiển (C2) của kẻ tấn công được sử dụng bởi nhóm hacker Trung Quốc APT41.

Các mẫu malware được phân tích bởi ICS CERT cho thấy có các bình luận được viết bằng tiếng Trung Quốc và cũng xác định được rằng tiếng Trung Quốc là ngôn ngữ được chỉ định để sử dụng khi kết nối với máy chủ C2. Tuy nhiên chỉ những bằng chứng này là không đủ để đưa ra kết luận về những kẻ vận hành malware này hoặc nguồn gốc của nó. Một điểm chưa rõ khác đó là mục tiêu cuối cùng của chiến dịch này, điều này làm dấy lên câu hỏi các cuộc tấn công mang động cơ tài chính hay được hỗ trợ bởi các quốc gia.

Các chuyên gia cho biết: “Số lượng lớn máy tính kỹ thuật bị tấn công, bao gồm các hệ thống được sử dụng cho 3D và dựng mô hình vật lý, sự phát triển và sử dụng bản sao kỹ thuật số ảo (digital twins) làm dấy lên lo ngại về vấn đề gián điệp trong ngành công nghiệp như một mục tiêu khả thi của chiến dịch này”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Các nhà nghiên cứu tiết lộ các lỗ hổng b...

07/05/2022 08:00:00 198
Hai lỗ hổng bảo mật mức độ nghiêm trọng cao, không bị phát hiện trong vài năm, đã được phát hiện tro...

Google phát hành bản cập nhật Android để...

06/05/2022 08:00:00 163
Google đã phát hành các bản vá bảo mật hàng tháng cho Android với các bản sửa lỗi cho 37 lỗ hổng trê...

Google sẽ thêm hỗ trợ xác thực không cần...

05/05/2022 08:00:00 156
Google hôm nay đã công bố kế hoạch triển khai hỗ trợ đăng nhập không cần mật khẩu trong Android và t...

Cảnh báo mã độc phát tán qua các bản cập...

29/04/2022 12:00:00 219
Những bản cập nhật độc hại này đang được lan truyền không giới hạn qua các trang web lậu, giả mạo.

Đã có thể yêu cầu Google xóa dữ liệu cá ...

28/04/2022 12:00:00 140
Dữ liệu này bao gồm số điện thoại, địa chỉ email và một số thông tin nhận dạng cá nhân khác.. Tất cả...

Trình duyệt Google Chrome vẫn luôn đứng ...

27/04/2022 12:00:00 168
Trong khi Chrome tuy vẫn là cái tên thống trị, nhưng đã ghi nhận sự sụt giảm nhẹ trong thị phần.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ