2021新的伪计算机密码软件感染超过35000台计算机

工业和政府组织，包括军工综合体和研究实验室的企业，是一个新的恶意软件僵尸网络的目标，该网络被称为假单胞菌仅今年一年就感染了大约35000台Windows电脑。

The name comes from its similarities to the Manuscrypt malware, which is part of the Lazarus APT group's attack toolset, Kaspersky researchers said, characterizing the operation as a "mass-scale spyware attack campaign." The Russian cybersecurity company said it first detected the series of intrusions in June 2021.

受到恶意软件攻击的所有计算机中，至少有7.2%是工程、楼宇自动化、能源、制造、建筑、公用事业和水管理行业组织使用的工业控制系统（ICS）的一部分，这些部门主要位于印度、越南和俄罗斯。大约三分之一（29.4%）的非ICS计算机位于俄罗斯（10.1%）、印度（10%）和巴西（9.3%）。

卡巴斯基ICS认证团队说：“伪Manuscrypt加载程序通过MaaS平台进入用户系统，该平台在盗版软件安装程序档案中分发恶意软件。”。“PseudoManuscrypt downloader发行版的一个具体案例是通过Glupteba僵尸网络安装。”

巧合的是，在谷歌本月早些时候披露其采取行动拆除僵尸网络的基础设施，并对两名俄罗斯公民提起诉讼后，Glupteba的运营也受到了重大打击。据称，这两名俄罗斯公民与其他15名未具名个人一起管理了恶意软件。

在被用来推动僵尸网络的破解安装程序中，有Windows 10、Microsoft Office、Adobe Acrobat、Garmin、Call of Duty、SolarWinds Engineer的工具集，甚至还有卡巴斯基自己的防病毒解决方案。盗版软件的安装是由一种称为搜索中毒的方法驱动的，在这种方法中，攻击者创建恶意网站，并使用搜索引擎优化（SEO）策略，使其在搜索结果中突出显示。

一旦安装，PseudoManuscrypt就具有一系列侵入性功能，允许攻击者完全控制受感染的系统。这包括禁用防病毒解决方案、窃取VPN连接数据、记录击键、录制音频、捕获屏幕截图和视频，以及截取存储在剪贴板中的数据。

卡巴斯基指出，它已经识别出100种不同版本的Pu假MaulsCypLT装载机，最早的测试变型可追溯到2021年3月27日。该特洛伊木马的组件是从Fabookie等商品恶意软件和总部位于中国的APT41集团使用的KCP协议库中借来的，用于将数据发送回攻击者的指挥与控制（C2）服务器。

ICS CERT分析的恶意软件样本还包含中文注释，并在连接C2服务器时指定中文为首选语言，但仅凭这些线索无法对恶意软件的操作员或其来源进行评估。这场运动的最终目标也不清楚，这引发了人们对袭击是出于经济动机还是国家支持的质疑。

研究人员说：“大量工程计算机遭到攻击，包括用于3D和物理建模的系统，以及数字孪生兄弟的开发和使用，使工业间谍问题成为这场运动的可能目标之一。”。