Các tổ chức công nghiệp và chính phủ, bao gồm các doanh nghiệp khu liên hợp công nghiệp – quân sự và các phòng thí nghiệm nghiên cứu hiện đang là mục tiêu của một mạng botnet độc hại mới có tên PseudoManyscrypt, đã lây nhiễm khoảng 35.000 hệ thống máy tính Windows chỉ trong riêng năm nay.
Các nhà nghiên cứu của Kaspersky cho biết mã độc này có những điểm tương đồng với phần mềm độc hại Manuscrypt, một phần trong bộ công cụ tấn công của nhóm hacker APT Lazarus. Vụ tấn công đầu tiên được phát hiện vào tháng 6/2021.
Ít nhất 7,2% số máy tính bị phần mềm độc hại tấn công là một phần của hệ thống điều khiển công nghiệp (ICS) được sử dụng bởi các tổ chức trong lĩnh vực kỹ thuật, tự động hóa, năng lượng, sản xuất, xây dựng, quản lý,… chủ yếu ở Ấn Độ, Việt Nam, và Nga. Khoảng 1/3 (29,4%) máy tính không sử dụng ICS nằm ở Nga (10,1%), Ấn Độ (10%) và Brazil (9,3%).
Nhóm Kaspersky ICS CERT cho biết trình tải PseudoManuscrypt xâm nhập vào hệ thống người dùng thông qua nền tảng MaaS. Một trường hợp cụ thể về bản phân phối của trình tải xuống PseudoManuscrypt là cài đặt của nó thông qua mạng botnet Glupteba.
Thật trùng hợp là hoạt động của Glupteba cũng đã bị ảnh hưởng đáng kể sau khi Google thông báo trước đó về hành động gỡ cơ sở hạ tầng của mạng botnet và theo đuổi vụ kiện hai công dân Nga bị nghi vấn đã quản lý phần mềm độc hại cùng với 15 đồng phạm khác.
Trong số các trình cài đặt bị bẻ khóa được sử dụng cho mạng botnet bao gồm: Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, Bộ công cụ của kỹ sư SolarWinds và thậm chí cả giải pháp antivirus của Kaspersky. Việc cài đặt phần mềm vi phạm bản quyền được “kích hoạt” bởi phương pháp “search poisoning”. Khi đó những kẻ tấn công tạo ra các trang web độc hại và tối ưu hóa công cụ tìm kiếm (SEO) để làm cho kết quả hiển thị nổi bật nhằm đánh lừa người dùng.
Sau khi được cài đặt, PseudoManuscrypt đi kèm với một loạt các tính năng xâm nhập cho phép kẻ tấn công toàn quyền kiểm soát hệ thống bị lây nhiễm. Điều này bao gồm vô hiệu hóa các giải pháp antivirus, đánh cắp dữ liệu kết nối VPN, ghi lại các lần nhấn phím, ghi âm, chụp ảnh màn hình và quay video màn hình cũng như chặn dữ liệu được lưu trữ trong clipboard.
Kaspersky đã xác định được 100 phiên bản khác nhau của trình tải PseudoManuscrypt, với các biến thể thử nghiệm sớm nhất xuất hiện từ ngày 27 tháng 3 năm 2021. Các thành phần của trojan được mượn từ phần mềm độc hại hàng hóa như Fabookie và thư viện giao thức KCP do APT41 có trụ sở tại Trung Quốc sử dụng gửi dữ liệu trở lại hệ thống máy chủ C2 (command-and-control).
Các mẫu phần mềm độc hại do ICS CERT phân tích cũng có các bình luận được viết bằng tiếng Trung Quốc và phát hiện ngôn ngữ này thường kết nối với máy chủ C2. Nhưng vẫn chưa đủ bằng chứng để kết luận về kẻ chủ mưu phần mềm độc hại hoặc nguồn gốc của chúng. Các mục tiêu cuối cùng của các chiến dịch tấn công này cũng chưa rõ ràng, khiến người ta đặt ra câu hỏi liệu có động cơ tài chính hay sự hậu thuẫn của chính phủ phía sau hay không, thì vẫn là một ẩn số.
