35.000 máy tính bị ảnh hưởng bởi mã độc PseudoManuscrypt

09:00 | 28/12/2021 | HACKER / MALWARE

Một mã độc mới có tên PseudoManyscrypt đã nhắm mục tiêu vào các tổ chức công nghiệp và chính phủ bao gồm các doanh nghiệp khu liên hợp công nghiệp, quân sự và các phòng thí nghiệm. Mã độc này đã lây nhiễm khoảng 35.000 hệ thống máy tính Windows trong năm 2021.

35.000 máy tính bị ảnh hưởng bởi mã độc PseudoManuscrypt

Các nhà nghiên cứu của Kaspersky cho biết mã độc này có những điểm tương đồng với phần mềm độc hại Manuscrypt, một phần trong bộ công cụ tấn công của nhóm tin tặc APT Lazarus. Vụ tấn công đầu tiên được phát hiện vào tháng 6/2021.

Ít nhất 7,2% số máy tính bị tấn công là một phần của hệ thống điều khiển công nghiệp (ICS) được sử dụng bởi các tổ chức trong lĩnh vực kỹ thuật, tự động hóa, năng lượng, sản xuất, xây dựng, quản lý,… chủ yếu ở Ấn Độ, Việt Nam và Nga.

Trong số các trình cài đặt bị bẻ khóa được sử dụng cho mạng botnet bao gồm: Windows 10, , Adobe Acrobat, Garmin, Call of Duty, Bộ công cụ của kỹ sư và giải pháp antivirus của Kaspersky. Việc cài đặt phần mềm vi phạm bản quyền được kích hoạt bởi phương pháp search poisoning. Khi đó những kẻ tấn công tạo ra các trang web độc hại và tối ưu hóa công cụ tìm kiếm để làm cho kết quả hiển thị nổi bật nhằm đánh lừa người dùng.

Sau khi được cài đặt, PseudoManuscrypt đi kèm với một loạt các tính năng xâm nhập cho phép kẻ tấn công toàn quyền kiểm soát hệ thống bị lây nhiễm. Điều này bao gồm vô hiệu hóa các giải pháp antivirus, đánh cắp dữ liệu kết nối VPN, ghi lại các lần nhấn phím, ghi âm, chụp ảnh màn hình và quay video màn hình cũng như chặn dữ liệu được lưu trữ trong clipboard.

Kaspersky đã xác định được 100 phiên bản khác nhau của trình tải PseudoManuscrypt, với các biến thể thử nghiệm sớm nhất xuất hiện từ ngày 27/3/2021. Các thành phần của trojan được mượn từ phần mềm độc hại hàng hóa như Fabookie và thư viện giao thức KCP do APT41 có trụ sở tại Trung Quốc sử dụng gửi dữ liệu trở lại hệ thống máy chủ C2.

Các mẫu phần mềm độc hại do ICS CERT phân tích cũng có các bình luận được viết bằng tiếng Trung Quốc và phát hiện ngôn ngữ này thường kết nối với máy chủ C2. Tuy nhiên, vẫn chưa đủ bằng chứng để kết luận về nguồn gốc của nhóm tin tặc.

M.H

‹ › ×

Tin liên quan

RATDispenser - mã độc qua mặt hầu hết các phần mềm diệt virus

14:00 | 08/12/2021

Các chuyên gia an ninh mạng công ty HP (Mỹ) đã đưa ra cảnh báo về một phần mềm độc hại mới có tên là RATDispenser có khả năng vượt qua hầu hết các phần mềm diệt virus.

Microsoft cảnh báo về hình thức mã độc mới tấn công vào các tổ chức của Ukraine

10:00 | 20/01/2022

Theo một báo cáo mới nhất của các chuyên gia bảo mật đến từ Microsoft Threat Intelligence Center (MSTIC), một chiến dịch tấn công mã độc phá hoại mới nhắm mục tiêu vào các cơ quan chính phủ, tổ chức phi lợi nhuận và công nghệ thông tin ở Ukraine, trong bối cảnh căng thẳng leo thang chính trị giữa nước này và Nga đang có xu hướng gia tăng.

Hơn 70 triệu lượt máy tính bị nhiễm virus trong năm 2021

17:00 | 28/01/2022

Trong những năm gần đây thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam liên tục gia tăng. Theo ước tính của Bkav, năm 2021, người dùng tại Việt Nam bị thiệt hại khoảng 24.400 tỷ đồng, tương đương 1,06 tỷ USD.

Mã độc đa hình VIRLOCK

17:00 | 19/11/2021

Mã độc đa hình là mã độc mà có thể tự thay đổi mã lệnh của nó sau một khoảng thời gian hoặc sau mỗi lần lây nhiễm. Mã độc đa hình khác với các mã độc thông thường ở chỗ nó có khả năng tự biến đổi bản thân thành nhiều dạng khác nhau. Mục đích của bài báo là giới thiệu tổng quan về mã độc đa hình, phương pháp đa hình cho mã độc, các biện pháp phát hiện mã độc đa hình và phân tích mã độc đa hình Virlock.

Fortinet: Hai phần ba các tổ chức từng là mục tiêu của mã độc tống tiền

18:00 | 29/10/2021

Theo khảo sát của Công ty chơi bắn cá đổi thưởng mạng Fortinet, 85% tổ chức lo ngại về tấn công mã độc tống tiền hơn các mối đe dọa trên mạng khác.

Tin cùng chuyên mục

FrostyGoop: Phần mềm độc hại ICS mới nhắm mục tiêu vào các cơ sở hạ tầng quan trọng

14:00 | 07/08/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.

Gần 600 máy chủ có liên quan đến Cobalt Strike đã bị đánh sập

17:00 | 12/07/2024

Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.

Tin tặc mạo danh Apple để đánh cắp thông tin đăng nhập

08:00 | 12/07/2024

Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.