20 Ocak-10 Kasım 2021 tarihleri arasında Kaspersky uzmanları, 195 ülkede 35 binden fazla bilgisayarı hedef alan yeni bir kötü amaçlı yazılımı temel alan toplu casus yazılım kampanyasını ortaya çıkardı.
Gelişmiş kalıcı tehdit (APT) grubu Lazarus’un Manuscrypt kötü amaçlı yazılımıyla benzerlikleri nedeniyle “PseudoManuscrypt” olarak adlandırılan bu yeni yazılım, gelişmiş casusluk yetenekleri içeriyor ve çok sayıda endüstride hem devlet kuruluşlarını hem de endüstriyel kontrol sistemlerini (ICS) hedef aldığı belirtiliyor.
PseudoManuscrypt, başlangıçta bazıları ICS’ye özel sahte korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu sahte yükleyicilerin Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu aracılığıyla sunulması muhtemel olan PseudoManuscrypt, bazı durumlarda kötü bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. İlk bulaşmadan sonra ana kötü amaçlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor.
Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan veri kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve bağlantı verilerini çalma, ekran görüntülerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip. Saldırılar belirli endüstrilere dair bir tercih göstermiyor. Ancak saldırıya uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fiziksel modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir hedef olabileceğini gösteriyor.
Konuya ilişkin açıklama yapan Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, “Bu oldukça sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir araya getiriyoruz. Ancak açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz” dedi.
