PsEuDOMadman，Pseudomanas solanacearumSmith

前言

近日，据诺顿杀毒软件科学研究工作人员汇报称，全球数以万计的机器设备，包含很多电力监控系统 (ICS)和政府部门组织，都遭受了 PseudoManuscrypt 间谍软件的攻击。

详细信息

PseudoManuscrypt名字的含义 来自与 中国朝鲜有关系的Lazarus APT 组织在对于国防科技的攻击中应用的Manuscrypt 恶意软件拥有共同之处 。

据权威专家表露，PseudoManuscrypt 恶意软件对于的全部系统软件中，最少有 7.2% 是好几个领域组织应用的电力监控系统 (ICS) 的一部分，包含工程项目、电力能源、生产制造、工程建筑、公共事业和水管理方法等。

2021 年 1 月至 11 月期内，该恶意软件攻击了 195 个我国/地域的最少 35,000 个系统软件，这在个人行为者开展的目的性攻击中并不普遍。

PseudoManuscrypt 载入程序流程根据恶意软件即服务项目 (MaaS) 服务平台给予，该服务平台将恶意程序派发到盗版程序安装归档中。权威专家还留意到根据Glupteba僵尸网络派发的间谍软件。

PseudoManuscrypt 适用普遍的特工作用，例如窃取 VPN 联接数据信息、纪录功能键纪录、捕获屏幕截屏视频、应用话筒音频、窃取剪切板数据信息和电脑操作系统事情日志数据信息（这也促使窃取 RDP 身份认证数据信息很有可能），这些。

近三分之一 (29.4%) 的恶意软件对于的非 ICS 电子计算机坐落于乌克兰 (10.1%)、印度的 (10%) 和墨西哥 (9.3%)，而被间谍软件攻击的绝大多数 ICS 电子计算机坐落于印度的、越南地区和乌克兰。

间谍软件应用 KCP 协义接入到 C2 网络服务器，这针对恶意软件而言并不普遍。以往，与中国相关的APT41曾应用 KCP 协义攻击工业生产组织。

科学研究工作人员还注意到，恶意软件样版还包括中文评价，而且间谍软件联接到百度云存储服务项目。PseudoManuscrypt 将中文设定为联络 C&C 远程服务器的优选语言表达。

虽然搜集和剖析了很多数据信息，但很多发觉依然匪夷所思，而且不符一切已经知道计划方案。因而现在还无法确认该健身运动是追求完美违法犯罪的雇佣兵总体目标或是与一些政府部门的利益相关的总体目标。

即便如此，被攻击的系统软件包含不一样我国著名组织的电子计算机这一客观事实使大家评定的危害等级很高。很多工程项目电子计算机遭受攻击，包含用以 3D 和物理学模型的系统软件，数字孪生的开发设计和应用将工业生产特工问题列入该主题活动的很有可能总体目标之一。

注：文中由E安全性编译程序报导。