اكتشف خبراء كاسبرسكي برمجية خبيثة استهدفت أكثر من 35,000 جهاز حاسوب في 195 دولة ضمن حملة تجسس عالمية واسعة النطاق نشطت بين 20 يناير و10 نوفمبر 2021. وأُطلق على البرمجية الجديدة اسم PseudoManuscrypt نظرا لأوجه شبه تجمع بينها وبين برمجية Manuscrypt التي تقف وراءها عصابة التهديدات المتقدمة المستمرة Lazarus، وهو يتضمّن قدرات تجسّس متقدّمة وشوهدت تستهدف المؤسسات الحكومية، علاوة على أنظمة التحكّم الصناعية في شركات عاملة في العديد من القطاعات.
وتُعدّ الشركات الصناعية من أكثر الأهداف التي يطمع فيها مجرمو الإنترنت، سواء لتحقيق مكاسب مالية أو جمع معلومات استخبارية. وقد شهد عام 2021 اهتمامًا بالغًا من عصابات التهديدات المتقدمة المستمرة المعروفة مثل Lazarus وAPT41، بالشركات الصناعية. واكتشف خبراء كاسبرسكي، أثناء التحقيق في سلسلة أخرى من الهجمات، برمجية خبيثة جديدة فيها بعض أوجه الشبه مع برمجية Manuscrypt من Lazarus، وهي برمجية مصممة خصيصًا للاستخدام في حملة ThreatNeedle التي استهدفت الجهات العاملة في الصناعات الدفاعية.
وحظرت منتجات كاسبرسكي البرمجية PseudoManuscrypt على أكثر من 35,000 جهاز حاسوب في 195 دولة. واشتملت العديد من الأهداف على شركات صناعية وجهات حكومية بينها مؤسسات صناعية عسكرية ومختبرات أبحاث. وكانت 7.2% من أجهزة الحاسوب التي تعرّضت للهجوم جزءًا من أنظمة الرقابة الصناعية، حيث عُدّت الهندسة وأتمتة المباني أكثر القطاعات تضررًا.
ويجري تنزيل البرمجية PseudoManuscrypt في البداية على الأنظمة المستهدفة عبر أرشيفات برمجية مقرصنة مزيّفة، وبعضها مخصص للبرمجيات المقرصنة الموجهة لنظم الرقابة الصناعية. ويُحتمل تقديم أدوات التثبيت المزيفة هذه عبر منصة تقدّم البرمجيات الخبيثة كخدمة. وفي بعض الحالات، ثُبّتت PseudoManuscrypt عبر شبكة البوتات سيئة السمعة Glupteba. وبعد الإصابة الأولية، تبدأ سلسلة إصابات معقدة تنزّل في النهاية الوحدة الرئيسة للبرمجية الخبيثة.