Шпион PseudoManuscrypt проник на 35 000 компьютеров, в том числе в России

Татьяна Никитина 16 Декабря 2021 - 19:08

Корпорации

Государство

Windows

Лаборатория Касперского

Таргетированные атаки

...

Шпион PseudoManuscrypt проник на 35 000 компьютеров, в том числе в России

Специалисты «Лаборатории Касперского» выявили масштабную шпионскую кампанию, затронувшую государственные и промышленные организации в 195 странах, включая Россию. Не менее 7,2% компьютеров, на которых в этом году была обнаружена новая вредоносная программа PseudoManuscrypt, являются частью АСУ ТП.

Такое имя было присвоено Windows-зловреду из-за схожести его загрузчика с лоудером Manuscrypt из арсенала Lazarus. Однако та группировка обычно проводит узконаправленные атаки, а PseudoManuscrypt раздается более щедро и в период с 20 января по 10 ноября заразил более 35 тыс. компьютеров по всему миру.

Распространители вредоноса обычно выдают его за пиратский софт и за плату загружают на готовый ботнет по схеме MaaS (Malware-as-a-Service, зловред как услуга). Зафиксированы случаи, когда PseudoManuscrypt попадал на машины с помощью ботов Glupteba.

В ходе исследования было установлено, что троян загружает и расшифровывает полезную нагрузку из системного реестра. Ее расположение в реестре уникально для каждой зараженной системы.

Основной вредоносный модуль PseudoManuscrypt обладает множеством шпионских функций. Он может красть данные VPN-соединений, регистрировать нажатия клавиш, создавать снимки и записи видео с экрана, записывать звук с микрофона, красть данные из буфера обмена и данные журнала событий.

Для передачи краденых данных на свой сервер зловред использует сетевой протокол KCP. По словам Kaspersky, это большая редкость; до сих пор ИБ-сообществу был известен только один пример реализации KCP вирусописателями — вредоносный софт APT41.

Какие цели преследуют авторы атак PseudoManuscrypt, доподлинно неизвестно. Судя по функциональности зловреда и выбору мишеней, это может быть промышленный шпионаж.

«Это очень необычная кампания, и мы всё ещё анализируем имеющуюся информацию — комментирует Вячеслав Копейцев, эксперт Kaspersky по защите промышленных предприятий. — Однако один факт очевиден: это угроза, на которую специалистам необходимо обратить внимание. Она затронула десятки тысяч компьютеров и смогла распространиться на тысячи компьютеров АСУ ТП, скомпрометировав множество промышленных организаций по всему миру».

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 27 Января 2026 - 10:18

Соответствие законодательству РФ Корпорации Сетевая безопасность Защита контейнерных сред (Container Security)Соответствие требованиям регуляторов

ФСТЭК России сертифицировала решения «Базиса» по контейнеризации

Компания «Базис», российский разработчик ПО для управления динамической ИТ-инфраструктурой, получила сертификаты ФСТЭК России сразу для двух своих продуктов — платформы управления контейнерами Basis Digital Energy и решения для защиты информации в виртуализированных и контейнерных средах Basis Virtual Security. Информация о сертификации уже внесена в Государственный реестр сертифицированных средств защиты.

Для Basis Virtual Security это не первая сертификация — продукт проходит инспекционный контроль ФСТЭК уже пять лет подряд. При этом новый сертификат оказался заметно шире предыдущего. Если раньше соответствие подтверждалось только по требованиям к средствам виртуализации, то теперь решение дополнительно отвечает требованиям приказа №118, который распространяется и на средства контейнеризации.

А вот для Basis Digital Energy сертификация стала первой. Получить её удалось после доработок платформы, направленных как на расширение функциональности, так и на усиление встроенных механизмов безопасности.

По итогам проверки оба решения подтвердили соответствие 4-му уровню доверия по общим требованиям к средствам технической защиты информации и 4-му классу защиты по требованиям к средствам контейнеризации. Для Basis Virtual Security этот класс защиты также распространяется и на виртуализацию.

В Basis Virtual Security реализованы механизмы управления доступом, единый вход (SSO), многофакторная аутентификация, контроль целостности, изоляция контейнеров, выявление уязвимостей и подробная регистрация событий. Basis Digital Energy, в свою очередь, использует ролевую модель доступа (RBAC), SSO, инструменты проверки политик в кластере, централизованное управление сертификатами и контроль конфигураций.

Полученные сертификаты расширяют сценарии использования продуктов. Теперь их можно применять не только в защищённых виртуализированных средах, но и при построении инфраструктур на базе контейнерных технологий — в том числе в наиболее чувствительных сегментах. Речь идёт об объектах КИИ до первой категории значимости, государственных информационных системах до первого класса защищённости, системах обработки персональных данных до первого уровня и АСУ ТП до первого класса.

Технический директор «Базиса» Дмитрий Сорокин отметил, что соответствие актуальным требованиям ФСТЭК потребовало серьёзных усилий и выстроенных процессов безопасной разработки, в том числе при участии ИСП РАН. По его словам, результат подтверждает зрелость продуктов и их готовность использоваться в динамичной и при этом защищённой ИТ-инфраструктуре.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »