PseudoManuscrypt: нестандартная атака на промышленные системы

Кибератака, затронувшая неожиданно большое количество промышленных систем.

В июне 2021 года наши специалисты обнаружили новое вредоносное программное обеспечение, получившее название PseudoManuscrypt. Функциональность PseudoManuscrypt достаточно стандартна для шпионского ПО: оно умеет записывать нажатия на клавиатуру, собирать информацию об установленных VPN-подключениях, включая сохраненные пароли, регулярно крадет содержимое буфера обмена, записывает звук на встроенный микрофон (при его наличии) и делает скриншоты. В одном из вариантов зловреда добавлены возможности кражи учетных данных мессенджеров QQ и WeChat, записи видео с экрана для отслеживания действий пользователя, а также функция для попытки отключения защитных решений.

Технические подробности атаки и индикаторы компрометации можно найти в отчете на сайте нашего ICS CERT.

Происхождение названия

Наши эксперты обнаружили определенное сходство между новой атакой и уже известной кампанией Manuscrypt, но уже в процессе тщательного анализа выяснилось, что часть кода зловреда ранее была задействована в атаке совсем другого автора — группы APT41. Из-за этого однозначно установить авторство атаки пока не удалось, а новую кампанию условно назвали PseudoManuscrypt.

Такие сложности с атрибуцией представляют интерес сами по себе: как правило, они связаны с попытками одного коллектива атакующих сделать вид, что они принадлежат к совсем иной группировке. В целом тактика внедрения фальшивых признаков не очень нова.

Как PseudoManuscrypt попадает в систему

Довольно сложная цепочка событий, приводящая к успешному заражению компьютера, в данной атаке, как правило, начинается с загрузки и исполнения пользователем зловреда, имитирующего пиратский инсталлятор популярного программного обеспечения.

Попасться на удочку «псевдоманускрипта» можно в попытках найти пиратский софт в поисковых сервисах. Веб-сайты, распространяющие вредоносный код по соответствующим запросам, оказываются высоко в результатах поиска — судя по всему, организаторы атаки внимательно следят за этим.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt.

Результаты поиска пиратской версии ПО, по первой же ссылке раздается PseudoManuscrypt. Источник.

Здесь же становится понятно, почему в итоге было зафиксировано так много попыток заражения промышленных систем. Помимо популярного ПО (офисный пакет, защитное решение, система навигации, 3D-шутер от первого лица), организаторы атаки маскируют свой зловред под фейковыe инсталляторы профессионального софта, в частности утилит для взаимодействия с программируемыми контроллерами (PLC) по шине ModBus. Результат — аномально высокое количество зараженных компьютеров с автоматизированными системами управления (ICS): 7,2% от общего числа.
В примере на скриншоте выше упоминается программное обеспечение для системных администраторов и сетевых инженеров. Теоретически такой подход может обеспечить взломщикам полный доступ к инфраструктуре компании.

Организаторы атаки также используют сервисы Malware-as-a-Service (MaaS), то есть платят другим киберпреступникам за распространение собственного ПО. При анализе платформы MaaS выяснилась интересная особенность: иногда PseudoManuscrypt попадался в сборниках разных зловредов, которые жертва устанавливала одним пакетом. Причем если цель PseudoManuscrypt — шпионаж, то у его «соседей» по этой вредоносной электричке могут быть иные задачи, в частности — шифрование данных с последующим требованием выкупа.

За кем охотится PseudoManuscrypt

Наибольшее число детектирований PseudoManuscrypt произошло в России, Индии, Бразилии, Вьетнаме и Индонезии. Из всего огромного количества попыток запустить вредоносный код значительное число приходится на промышленные организации. Среди пострадавших индустриальных предприятий были замечены управляющие системами автоматизации зданий, компании из энергетического сектора, компании, занятые в производстве, строительстве и даже контролирующие водоочистные сооружения. Кроме того, среди жертв было необычно много компьютеров, задействованных в процессах инженеринга, в создании и запуске в производство новых продуктов промышленных компаний.

Методы защиты от PseudoManuscrypt

Для защиты от PseudoManuscrypt необходимо чтобы на 100% систем на предприятии были установлены регулярно обновляемые защитные решения. Кроме того, следует внедрить политики, затрудняющие отключение защиты.

Для IT-систем в промышленности также существует специализированное решение Kaspersky Industrial CyberSecurity, обеспечивающее и защиту компьютеров (включая специализированные), и мониторинг обмена данными с использованием специфических протоколов на предмет попыток взлома.

Нельзя также забывать о работе с персоналом: коллег необходимо обучать базовым нормам безопасности. Если успешные фишинговые атаки невозможно исключить полностью, то объяснить опасность установки постороннего ПО (тем более пиратского) на компьютеры с доступом к промышленным системам — вполне реально.

Советы