Перейти к содержанию

PseudoManuscrypt — целевая атака на промышленные системы


Рекомендуемые сообщения

В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Специально искать его особо не пришлось: вредоносные файлы были задетектированы стандартным антивирусным движком, так как были похожи на уже известные зловреды.

Чем опасен PseudoManuscrypt

Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО. Во-первых, оно разворачивает программу для записи всех нажатий на клавиатуру, копирует информацию об установленных VPN-подключениях, включая сохраненные пароли. Во-вторых, регулярно крадет содержимое буфера обмена, производит запись звука на встроенный микрофон (при его наличии), выполняет общее исследование скомпрометированной системы. В одном из вариантов зловреда добавлена возможность кражи учетных данных мессенджеров QQ и WeChat, захвата изображения и записи его в видеофайл, а также инструмент для отключения защитных решений. Данные затем отправляются на сервер злоумышленников.

Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.

Происхождение названия

Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.

Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Pomka.
      Автор Pomka.
      короче простым клубням тут не место ?
    • Victor_R
      Автор Victor_R
      Доброго дня всем! Версия Plus заканчивается пробный период. И вдруг Касперский начинает находить (раньше такого не видел в своей системе) и ругается на несовместимость с AdGuard. Предлагает настоятельно удалить его, но его НЕТ в системе! Смотрел и средствами Windows и есть Uninstall Tool. Но нигде нет Adguard.  Как реагировать на это? А точнее как исправить?
    • KL FC Bot
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • MiStr
      Автор MiStr
      То, над чем мы так долго работали; то, о чём вы не раз спрашивали; то, что теперь будет постоянно обновляться и публиковаться — текущий рейтинг фан-клубовцев. Наконец мы решили все организационные и технологические вопросы, получили и агрегировали данные по программам, участвующим в рейтинговой системе мотивации фан-клубовцев, и теперь готовы ежемесячно публиковать текущий рейтинг. Всё это для того, чтобы каждый фан-клубовец видел, на каком месте он находится в данный момент, мог оценить свои шансы на попадание в список приглашённых на празднование очередного дня рождения фан-клуба, зарядить себя мотивацией и с новыми силами продолжить участвовать в многочисленных программах, за активность в которых начисляются клабы.
       
      Рейтинг фан-клубовцев по состоянию на 03.02.2019 (Ник / количество клабов):
       
       
      Внимание! Опубликованные данные носят текущий информационный характер и не являются окончательным результатом. Публикация рейтинга не означает, что подсчитаны абсолютно все активности, в которых участвовал фан-клубовец до даты публикации рейтинга, поскольку информация об участии фан-клубовцев в программах поступает к нам с задержкой от нескольких дней до нескольких месяцев.
       
      Напоминаем, что согласно правилам рейтинговой системы, любые вопросы, связанные с начислением клабов, принимаются в течение 30 дней с момента обновления рейтинга участника. По истечении этого срока количество начисленных клабов не пересматривается. Поэтому если у вас возникли вопросы по начислению клабов, то отправьте письмо мне с копией Elly. В письме сообщите, какой размер вашего рейтинга должен быть и приложите соответствующие расчёты. Письма без конкретных расчётов или содержащие неконкретную информацию вида "Мне кажется, у меня должно быть немного больше" рассматриваться не будут.
×
×
  • Создать...