PseudoManuscrypts – Spyware-Kampagne mit ICS-Computer im Visier

Eine unerwartet große Anzahl an industriellen Kontrollsystemen (ICS) sind von Angriffen mit PseudoManuscrypt-Malware betroffen.

Im Juni 2021 entdeckten unsere IT-Spezialisten eine neue Malware namens PseudoManuscrypt, dessen Methoden ziemlich typisch für Spyware sind. Die Malware funktioniert wie ein Keylogger, sammelt Informationen über die erstellen VPN-Verbindungen und gespeicherten Passwörter, stiehlt Clipboard-Inhalte, zeichnet Audios über das eingebaute Mikrofon auf (wenn der Computer eins hat) und nimmt Bilder auf. Eine Variante der Spyware kann auch die Anmeldedaten von QQ- und WeChat-Messenger stehlen, Videos vom Bildschirm machen und verfügt außerdem über eine Funktion, die versucht Sicherheitslösungen zu deaktivieren. Alle von der Malware gesammelten Daten werden an den Server der Angreifer gesendet.

Wenn Sie die technischen Details des Angriffs und die Gefährdungsindikatoren interessieren, empfehlen wir Ihnen einen Blick auf unseren ICS CERT-Bericht zu werfen.

Woher der Name stammt

Unsere Experten entdeckten, dass diese neuen Angriffe einige Ähnlichkeiten mit der bereits bekannten Manuscrypt-Malware aufwiesen. Doch in einer Analyse stellte sich heraus, dass ein vollkommen anderer Akteur, die APT41-Gruppe, bereits vorher einen Teil des Malware-Codes bei den Angriffen eingesetzt hatte. Wer genau hinter den aktuellen Angriffen steckt, ist noch nicht ganz klar und aus diesem Grund haben wir die Malware PseudoManuscrypt genannt.

Wie PseudoManuscrypt Systeme infiziert

Eine erfolgreiche Infizierung mit PseudoManuscrypt erfordert eine recht komplexe Kette an Ereignissen. Der Angriff auf einen Computer beginnt in der Regel, wenn der Benutzer ein Installerpaket für eine Raubkopie einer bekannten Software herunterlädt und ausführt, das aber statt der gewünschten Software die Malware enthält.

Wenn Sie im Internet nach Raubkopien von Software suchen, ist es nicht schwer auf PseudoManuscrypt zu stoßen. Webseiten, über die der schädliche Code verteilt wird, werden auf den Seiten mit Suchmaschinenergebnissen ganz oben angezeigt und können leicht über populäre Suchanfragen gefunden werden.

Das erklärt die große Anzahl an Versuchen industrielle Systeme anzugreifen. Abgesehen von den Fake-Installern für weitverbreitete Software (wie u. A. Office Suits, Sicherheitslösungen, Navi-Systeme und 3D-First-Person-Shooter) bieten die Angreifer auch gefälschte Installerpakete für professionelle Software, einschließlich bestimmter Tools für die Interaktion mit programmierbaren Logik-Controllern (PLC), über das Kommunikationsprotokoll ModBus. Das Ergebnis ist eine ungewöhnlich hohe Anzahl an infizierten ICS-Computer (7,2 % der Gesamtanzahl).

Suchergebnisse der Schlüsselwörter Software-Raubkopien. Das Installerpaket mit PseudoManuscrypt befindet ganz oben auf der Suchergebnisseite von Google. Sourse.

Suchergebnisse der Schlüsselwörter Software-Raubkopien. Das Installerpaket mit PseudoManuscrypt befindet ganz oben auf der Suchergebnisseite von Google. Sourse.

Im Beispiel des Screenshots oben, wurde Software für Systemadministratoren und Netzwerkingenieure gesucht. Rein theoretisch könnten die Angreifer über diese Art von Angriffsvektor uneingeschränkten Zugriff auf die Infrastruktur eines Unternehmens erhalten.

Die Bedrohungsakteure verwenden außerdem das Malware-as-a-Service (MaaS) System – sie zahlen andere Cyberverbrecher für die Verteilung der Malware. Für diese Methode wird eine interessante Funktion genutzt, die unsere Experten entdeckten, als sie die MaaS-Plattform analysierten: In manchen Fällen wurde das PseudoManuscrypt mit anderer Malware in ein einziges Paket gepackt, das vom Opfer auf dem Computer installiert wurde. PseudoManuscrypt wird für Spionage verwendet, aber die anderen schädlichen Programme dienen anderen Zwecke, wie beispielsweise die Verschlüsselung von Dateien für Erpressungen und Lösegeldforderungen.

Auf wen haben es die Betreiber von PseudoManuscrypt abgesehen?

Angriffsversuche mit PseudoManuscrypt wurden vor allem in Russland, Indien, Brasilien, Vietnam und Indonesien entdeckt. Unter den Angriffszielen befanden sich eine beachtliche Anzahl an Benutzern mit Konten von industriellen Organisationen. Zu den Opfern zählen Manager für den Aufbau von automatisierten Systemen, Energieunternehmen, Hersteller, Bauunternehmen und sogar Dienstleister für Wasseraufbereitungsanlagen. Eine ungewöhnlich hohe Anzahl der betroffenen Computer wurden für Engineering-Prozesse und die Herstellung von neuen Produkten in industriellen Unternehmen verwendet.

So schützen Sie sich vor PseudoManuscrypt

Es ist wichtig über zuverlässige und regelmäßig aktualisierte Schutzlösungen zu verfügen, die ausnahmslos auf allen Geräten im Unternehmen installiert sind, um sich vor PseudoManuscrypt zu schützen. Wir empfehlen außerdem Richtlinien festzulegen, damit Mitarbeiter die Schutzlösungen nicht deaktivieren.

Für industrielle IT-Systeme steht Kunden Kaspersky Industrial CyberSecurity zur Verfügung – eine auf Industrie spezialisierte Lösung, die die Computer (einschließlich Spezialcomputer) beschützt und gleichzeitig die Datenübertragung mit spezifischen Protokollen überwacht.

Denken Sie auch daran, durch Schulungen das Bewusstsein für Cybersicherheit bei Ihren Mitarbeitenden zu erhöhen. Damit beispielsweise unternehmensweit klar ist, welche Risiken mit dem Herunterladen von nicht autorisierter Software (insbesondere Raubkopien) verbunden sind und das solche Downloads unter keinen Umständen auf Computern mit Zugriff industrielle Systeme getätigt werden dürfen. Es ist zwar unmöglich Sicherheitsprobleme durch den Reinfall auf Phishing vollkommen aus dem Weg zu räumen, aber Sie können eine nachhaltigen Sicherheitskultur im Unternehmen aufbauen und erreichen, dass Ihre Mitarbeiter immer informiert und wachsam sind.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.