新型"PseudoManuscrypt"間諜軟件針對數千計的工業系統 - 網安 - 專業的網絡安全產業、社區、知識平臺

研究人員追蹤了新的間諜軟件——被稱為“PseudoManuscrypt”，因為它類似于Lazarus高級持續威脅(APT)組織的“Manuscrypt”惡意軟件——僅今年一年就感染了195個國家/地區的35,000多臺計算機。

卡巴斯基研究人員在周四的一份報告中表示，從1月20日到11月10日，在受惡意軟件攻擊的所有計算機中，至少有7.2%是工程、樓宇自動化、能源、制造、建筑、公用事業和水資源管理部門組織使用的工業控制系統(ICS)的一部分，這些部門主要位于印度、越南、和俄羅斯。大約三分之一(29.4%)的非ICS計算機位于俄羅斯(10.1%)、印度(10%)和巴西(9.3%)。

Manuscrypt，又名NukeSped，是一系列惡意軟件工具，過去曾被用于間諜活動。其中一個例子是2月份與Lazarus相關的魚叉式網絡釣魚活動，該活動使用Manuscrypt惡意軟件家族的“ThreatNeedle”工具集群來攻擊國防公司。

假冒盜版安裝程

PseudoManuscrypt背后的運營商正在使用偽造的盜版軟件安裝程序檔案將間諜軟件下載到目標系統上。

虛假安裝程序用于“ICS專用軟件，例如用于創建MODBUS主設備以從PLC[可編程邏輯控制器]接收數據的應用程序，以及更多通用軟件。盡管如此，這些軟件仍在OT網絡上使用，例如用于網絡工程師和系統管理員的SolarWinds工具的密鑰生成器，”研究人員說。

他們懷疑威脅行為者正在從惡意軟件即服務（MaaS）平臺上獲取虛假安裝程序，除了PseudoManuscrypt以外，該平臺還將它們提供給多個惡意活動的運營商。

但是，卡巴斯基還分享了他們通過Google搜索找到的虛假安裝程序列表的屏幕截圖(如下所示)。

卡巴斯基概述了該模塊的兩個變體，它們都配備了高級間諜軟件功能。其中一個版本是通過臭名昭著的Glupteba僵尸網絡實現的：這是一個由受損的Windows和物聯網(IoT)設備組成的100萬人的僵尸網絡，谷歌威脅分析小組(TAG)在本月早些時候破壞了該網絡。

研究人員表示，與Glupteba的結合是PseudoManuscrypt可能起源于MaaS平臺的一條線索，因為僵尸網絡的主要安裝程序“也通過盜版軟件安裝程序分發平臺進行分發”。

具有完整間諜軟件功能的上海系統

研究人員說，這兩種模塊變體都具有強大的間諜軟件功能。PseudoManuscrypt的主模塊有一個完整的工具包，可以通過各種方式進行間諜活動，其中包括：

竊取VPN連接數據
記錄擊鍵
抓取屏幕截圖并拍攝屏幕視頻
使用系統的麥克風來竊聽和錄音
Filch剪貼板數據
竊取操作系統事件日志數據——這也使得竊取遠程桌面協議（RDP）身份驗證數據成為可能。

換句話說，它可以完全接管受感染的系統，研究人員說：“本質上，PseudoManuscrypt的功能為攻擊者提供了對受感染系統的幾乎完全控制。”

這是Bender上的APT嗎？

從全球系統的35,000次攻擊中我們可以看出，這是一種奇怪的混雜APT：這種廣泛的傳播并不表明它具有針對性。研究人員指出：“如此多的被攻擊系統并不是Lazarus組織或APT攻擊的整體特征。”

PseudoManuscrypt活動攻擊了他們所謂的“大量工業和政府組織，包括軍工綜合體和研究實驗室的企業”。

與Manuscrypt的相似之處

卡巴斯基的ICS-CERT團隊于6月首次檢測到PseudoManuscrypt系列攻擊，當時該惡意軟件觸發了旨在發現Lazarus活動的防病毒檢測。然而，鑒于數以萬計的非典型、無目標的攻擊，線索并沒有全部指向Lazarus。

然而，卡巴斯基隨后發現了新的PseudoManuscrypt和Lazarus的Manuscrypt惡意軟件之間的相似之處。

研究人員解釋說，PseudoManuscrypt惡意軟件從系統注冊表加載其負載，并使用每個受感染系統特有的注冊表位置對其進行解密。

“這兩個惡意程序都從系統注冊表加載有效載荷并對其進行解密；在這兩種情況下，CLSID格式中的特殊值用于確定有效載荷在注冊表中的位置。”“兩個惡意程序的可執行文件的導出表幾乎相同。”

這兩個惡意軟件也使用類似的可執行文件命名格式。

卡巴斯基指出，這兩種惡意軟件之間的另一個共同點是，一些受PseudoManuscrypt攻擊的組織與Lazarus ThreatNeedle活動的受害者有業務和生產聯系。

卡巴斯基發現，關于PseudoManuscrypt活動的地理范圍，近三分之一//(29.4%)目標的非ICS計算機位于俄羅斯(10.1%)、印度(10%)和巴西(9.3%)，這與ICS計算機的分布情況類似。

他們總結道：“受到攻擊的系統數量很多，我們沒有看到對特定工業組織的明確關注。”“然而，事實上，全球有大量ICS計算機(僅根據我們的遙測就有數百臺——實際上很可能更多)在這次活動中受到攻擊，這無疑使它成為一種值得負責車間系統的安全及其持續運行的專家關注的威脅。”

執行流程

卡巴斯基研究人員在其ICS-CERT網站上進行了詳細深入分析，稱PseudoManuscrypt安裝的執行流程有許多可能的變體，惡意軟件安裝程序會下載并執行其他惡意程序的負載，包括間諜軟件、后門程序、加密貨幣挖掘程序和廣告軟件。

同樣，在每個階段，他們都看到了大量不同的dropper安裝和模塊下載，不同的模塊旨在竊取數據，每個模塊都有自己的命令和控制(C2)服務器。

以下是卡巴斯基發現的兩種變體之一的執行流程：一種使用Glupteba僵尸網絡的基礎設施和惡意軟件安裝程序。

研究人員指出了BitDefender描述的PseudoManuscrypt安裝程序的另一個變體，該變體于2021年5月17日使用鏈接：

hxxps://jom[.]diregame[.]live/userf/2201/google-game.exe下載。

卡巴斯基說：“值得注意的是，在不同時間，該鏈接可用于下載來自不同家族的惡意軟件。”

令人頭疼

卡巴斯基在總結其報告時表示，工業實體成為具有經濟動機的對手和網絡間諜活動的誘人目標，這早已不是新聞了。“工業組織是網絡犯罪分子最為覬覦的目標，無論是為了經濟利益還是情報收集都是如此。”該文章指出，2021年“Lazarus和APT41等知名APT組織對工業組織產生了濃厚的興趣”。

APT41-又名Barium、Winnti、Wicked Panda和Wicked Spider-是一個與某民族過偶家有關的威脅組織，以民族國家支持的網絡間諜活動以及金融網絡犯罪而聞名。

但卡巴斯基表示，無法確定PseudoManuscrypt活動是“追求犯罪的雇傭軍目標還是與某些政府的利益相關的目標”。盡管如此研究人員說：“被攻擊的系統包括不同國家知名組織的計算機，這一事實使我們將威脅級別評估為‘高’。”

他們補充說：“大量工程計算機受到攻擊，包括用于3D和物理建模的系統，數字孿生的開發和使用提出了工業間諜問題，這可能是此次戰役的目標之一。”

參考及來源：

https://threatpost.com/pseudomanuscrypt-mass-spyware-campaign/177097/