PseudoManuscrypt — целевая атака на промышленные системы

Наши эксперты выявили целевую атаку на промышленные системы при помощи шпионского ПО PseudoManuscrypt.

В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Специально искать его особо не пришлось: вредоносные файлы были задетектированы стандартным антивирусным движком, так как были похожи на уже известные зловреды.

Чем опасен PseudoManuscrypt

Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО. Во-первых, оно разворачивает программу для записи всех нажатий на клавиатуру, копирует информацию об установленных VPN-подключениях, включая сохраненные пароли. Во-вторых, регулярно крадет содержимое буфера обмена, производит запись звука на встроенный микрофон (при его наличии), выполняет общее исследование скомпрометированной системы. В одном из вариантов зловреда добавлена возможность кражи учетных данных мессенджеров QQ и WeChat, захвата изображения и записи его в видеофайл, а также инструмент для отключения защитных решений. Данные затем отправляются на сервер злоумышленников.

Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.

Происхождение названия

Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.

Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.

Как PseudoManuscrypt попадает в систему

Довольно сложная цепочка событий, приводящая к успешному заражению компьютера, в данной атаке, как правило, начинается с загрузки и исполнения пользователем генератора пиратских ключей к популярному программному обеспечению.

Попасться на удочку «псевдоманускрипта» можно в попытках найти пиратский «ключ» для регистрации ПО в поисковых сервисах. Веб-сайты, распространяющие вредоносный код по соответствующим запросам, оказываются высоко в результатах поиска — судя по всему, организаторы атаки внимательно следят за этим. Еще раз скажем самое важное: это публичная атака, вредоносный код для нее открыто лежит в сети, что крайне необычно для таргетированных операций.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt. Источник.

Здесь же становится понятно, почему в итоге было зафиксировано так много попыток заражения промышленных систем. Помимо «ключей» для популярного ПО (офисный пакет, защитное решение, система навигации, 3D-шутер от первого лица), организаторы атаки предлагают фейковый взлом профессионального софта, в частности утилит для взаимодействия с PLC-контроллерами по шине ModBus. Результат — аномально высокое число организаций в сфере промышленности: 7,2% от общего числа.

В примере на скриншоте выше упоминается программное обеспечение для системных администраторов и сетевых инженеров: такой вектор атаки в случае успеха может сразу обеспечить взломщикам полный доступ к инфраструктуре компании.

Организаторы атаки также используют сервисы Malware-as-a-Service, то есть платят другим киберпреступникам за распространение собственного ПО. Отсюда возникла интересная особенность при анализе самих вредоносных файлов: иногда они попадались в сборниках разных зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.

За кем охотится PseudoManuscrypt

Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Подавляющее большинство попыток взлома пришлось на разработчиков тех или иных решений, используемых в промышленности.

Методы защиты от PseudoManuscrypt

В целом, стандартных средств обнаружения и блокировки вредоносного ПО вполне достаточно для эффективной защиты от PseudoManuscrypt. Главное — убедиться, что они установлены на 100% систем на предприятии. Кроме того, следует внедрить политики, затрудняющие отключение защиты.

Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.

Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.

16.12.2021