Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

PseudoManuscrypt — целевая атака на промышленные системы

Наши эксперты выявили целевую атаку на промышленные системы при помощи шпионского ПО PseudoManuscrypt.

В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Специально искать его особо не пришлось: вредоносные файлы были задетектированы стандартным антивирусным движком, так как были похожи на уже известные зловреды.

Чем опасен PseudoManuscrypt

Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО. Во-первых, оно разворачивает программу для записи всех нажатий на клавиатуру, копирует информацию об установленных VPN-подключениях, включая сохраненные пароли. Во-вторых, регулярно крадет содержимое буфера обмена, производит запись звука на встроенный микрофон (при его наличии), выполняет общее исследование скомпрометированной системы. В одном из вариантов зловреда добавлена возможность кражи учетных данных мессенджеров QQ и WeChat, захвата изображения и записи его в видеофайл, а также инструмент для отключения защитных решений. Данные затем отправляются на сервер злоумышленников.

Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.

Происхождение названия

Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.

Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.

Как PseudoManuscrypt попадает в систему

Довольно сложная цепочка событий, приводящая к успешному заражению компьютера, в данной атаке, как правило, начинается с загрузки и исполнения пользователем генератора пиратских ключей к популярному программному обеспечению.

Попасться на удочку «псевдоманускрипта» можно в попытках найти пиратский «ключ» для регистрации ПО в поисковых сервисах. Веб-сайты, распространяющие вредоносный код по соответствующим запросам, оказываются высоко в результатах поиска — судя по всему, организаторы атаки внимательно следят за этим. Еще раз скажем самое важное: это публичная атака, вредоносный код для нее открыто лежит в сети, что крайне необычно для таргетированных операций.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt. Источник.

Здесь же становится понятно, почему в итоге было зафиксировано так много попыток заражения промышленных систем. Помимо «ключей» для популярного ПО (офисный пакет, защитное решение, система навигации, 3D-шутер от первого лица), организаторы атаки предлагают фейковый взлом профессионального софта, в частности утилит для взаимодействия с PLC-контроллерами по шине ModBus. Результат — аномально высокое число организаций в сфере промышленности: 7,2% от общего числа.

В примере на скриншоте выше упоминается программное обеспечение для системных администраторов и сетевых инженеров: такой вектор атаки в случае успеха может сразу обеспечить взломщикам полный доступ к инфраструктуре компании.

Организаторы атаки также используют сервисы Malware-as-a-Service, то есть платят другим киберпреступникам за распространение собственного ПО. Отсюда возникла интересная особенность при анализе самих вредоносных файлов: иногда они попадались в сборниках разных зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.

За кем охотится PseudoManuscrypt

Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Подавляющее большинство попыток взлома пришлось на разработчиков тех или иных решений, используемых в промышленности.

Методы защиты от PseudoManuscrypt

В целом, стандартных средств обнаружения и блокировки вредоносного ПО вполне достаточно для эффективной защиты от PseudoManuscrypt. Главное — убедиться, что они установлены на 100% систем на предприятии. Кроме того, следует внедрить политики, затрудняющие отключение защиты.

Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.

Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.


Источник: Лаборатория Касперского

16.12.2021