PseudoManuscrypt: массовая кампания по атаке шпионского ПО
на правительственный и промышленный сектор
В текущей неделе Лаборатория Касперского выложила свой отчет по исследованию нового шпионского ПО PseudoManuscrypt.
По данным Лаборатории за период с января по ноябрь 2021 года было атаковано более 35000 устройств в 195 странах, включая АСУ ТП (ICS) и, с помощью нового шпионского ПО PseudoManuscrypt.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, загрузчик которого имеет некоторое сходство с вредоносным ПО Manuscrypt, входящим в арсенал APT-группы Lazarus которое использовалось для атак на объекты в оборонной сфере Северной Кореи.
С другой стороны, выяснилось, что вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
Необходимо отметить, что специалисты Касперского пришли к такому выводу:
Количество атакованных систем велико, и мы не видим четкой ориентации на конкретные промышленные организации. Тем не менее, тот факт, что большое количество компьютеров АСУ ТП по всему миру (многие сотни, если судить по одной только нашей телеметрии - а на самом деле, вероятно, будет намного больше) было атаковано в ходе этой кампании, безусловно, делает ее угрозой, заслуживающей самого пристального внимания. специалистов, ответственных за безопасность и сохранность цеховых систем и их непрерывную работу.
Большое количество атакованных инженерных компьютеров, включая системы, используемые для трехмерного и физического моделирования, разработка и использование цифровых двойников поднимают вопрос о промышленном шпионаже как одной из возможных целей кампании.
А также, компания опубликовала несколько предложений во избежание вышеуказанных ситуаций:установите программное обеспечение для защиты конечных точек на все серверы и рабочие станции, убедитесь, что для него включено централизованное управление политиками безопасности (без каких-либо прав администрирования, назначенных конечному пользователю), и убедитесь, что базы данных и программные модули решения безопасности постоянно обновляются. -Дат;
- убедитесь, что все компоненты защиты конечных точек включены во всех системах и что существует политика, требующая ввода пароля администратора в случае попыток отключения защиты;
- убедитесь, что политики Active Directory включают ограничения на попытки пользователей войти в систему. Пользователям должно быть разрешено входить в систему только в тех системах, к которым им необходим доступ для выполнения своих должностных обязанностей;
- ограничить сетевые соединения, включая VPN, между системами в сети OT; блокировать соединения на всех тех портах, использование которых не требуется для непрерывности и безопасности работы;
- используйте смарт-карты (токены) или одноразовые коды в качестве второго фактора аутентификации при установке VPN-соединения. В случаях, когда это применимо, используйте технологию списка управления доступом (ACL), чтобы ограничить список IP-адресов, с которых может быть инициировано VPN-соединение;
- обучите сотрудников предприятия безопасному использованию Интернета, электронной почты и других каналов связи и, в частности, объясните возможные последствия загрузки и выполнения файлов из непроверенных источников;
- используйте учетные записи с правами локального администратора и администратора домена только тогда, когда это необходимо для выполнения должностных обязанностей;
- ограничьте возможность программ получать привилегии SeDebugPrivilege (где это возможно);
- обеспечьте соблюдение политики паролей, которая предъявляет требования к сложности пароля и требует регулярной смены паролей;
- рассмотрите возможность использования услуг класса Managed Detection and Response, чтобы получить быстрый доступ к высокоуровневым знаниям и опыту профессионалов в области безопасности;
- используйте специальную защиту для производственных систем для защиты промышленные конечные точки и позволить осуществлять мониторинг сети OT для выявления и блокировки вредоносной активности.