针对全球数千台ICS计算机的大规模间谍软件活动

从2021年1月20日至11月10日，卡巴斯基专家发现一款新的恶意软件对195个国家的35,000台计算机进行攻击。由于这种新的恶意软件与高级持续威胁（APT）组织Lazarus的Manuscrypt恶意软件相似，因此被命名为“PseudoManuscrypt”，它包含高级间谍功能，并被发现针对政府组织和众多行业的工业控制系统（ICS）进行攻击。

工业组织是网络罪犯最觊觎的攻击目标——无论是为了获得经济利益还是收集情报。事实上，2021年，Lazarus和APT41等知名APT组织就对工业组织产生了浓厚的兴趣。在调查另一系列攻击时，卡巴斯基专家发现了一种新的恶意软件，与Lazarus的"Manuscrypt"有一些相似之处，Manuscrypt是该组织为攻击国防工业，实施ThreatNeedle攻击活动所使用的定制恶意软件。因此，卡巴斯基专家将这种新恶意软件命名为PseudoManuscrypt。

从2021年1月20日至11月10日，卡巴斯基产品在195个国家的超过35,000台计算机上拦截了PseudoManuscrypt。其中很多被攻击目标是工业和政府组织，包括军工企业和研究实验室。7.2%的被攻击计算机是工业控制系统（ICS）的一部分，其中工程行业和楼宇自动化是受影响最严重的行业。

按天检测到的被PseudoManuscrypt感染的系统数量

PseudoManuscrypt最初是通过假冒的盗版软件安装程序档案下载到目标系统中的，有些还是专门用于ICS的盗版软件。这些假冒的盗版软件可能是通过恶意软件即服务 (MaaS) 平台提供的。令人感到奇怪的是，有些情况下，PseudoManuscrypt是通过臭名昭著的Glupteba僵尸网络安装的。在初始感染后，会启动一个复杂的感染链，最终下载主恶意模块。卡巴斯基专家已经确定了该模块的两种变种。两者都具有高级间谍软件功能，包括记录键盘输入内容、从剪贴板复制数据、窃取VPN（以及潜在的RDP）身份验证凭据和连接数据、复制屏幕截图等。

这些攻击没有显示出对特定行业的偏好，但是，大量工程计算机遭受攻击，包括用于3D和物理建模以及数字孪生的系统，表明工业间谍可能是其进行攻击的一个目标。

奇怪的是，有些受害者与ICS CERT之前报道的Lazarus攻击活动的受害者有所联系，数据通过一种罕见的协议发送到攻击者的服务器，使用的库以前只用于 APT41的恶意软件。尽管如此，鉴于受害者人数众多且攻击缺乏明确的关注点，卡巴斯基不会将该活动与Lazarus或任何已知的APT威胁行为者联系起来。

“这是一场非同寻常的攻击活动，我们仍在拼凑我们所掌握的各种信息。但是，有一个事实很明确：这是一个安全专业人员需要关注的威胁。它已经通过手段感染了数千台ICS计算机，包括很多重要的组织。我们将继续我们的调查，一旦有任何新发现，会通报安全社区，”卡巴斯基安全专家Vyacheslav Kopeytsev评论说。

更多有关PseudoManuscrypt攻击行动的详情，请访问ICS CERT.

为了确保安全，远离PseudoManuscrypt这类威胁，卡巴斯基专家建议企业和组织采取以下措施：

在所有服务器和工作站上都安装端点保护软件。

检查是否在所有系统上启用了所有端点保护组件，检查是否制定了策略，该策略要求在有人尝试禁用软件时输入管理员密码。

检查 Active Directory 策略是否包括对用户尝试登录系统的限制。 用户应该只被允许登录他们需要访问以执行其工作职责的那些系统。

限制 OT 网络上系统之间的网络连接，包括VPN；阻止所有对操作的连续性和安全性不需要的端口的连接。

在建立VPN连接时，使用智能卡（令牌）或一次性密码作为第二种验证因素。在可用的情况下，请使用访问控制列表 (ACL) 技术来限制可从中启动VPN连接的IP地址列表。

培训企业员工安全地使用互联网、电子邮件和其他通信渠道，特别要解释从未验证来源下载和执行文件可能造成的后果。

仅在执行工作职责必要的情况下，才使用具有本地管理员和域管理员权限的账户。

考虑使用管理检测和响应类服务来快速访问高级知识和安全专业人员的专业知识。

为现场监控系统使用专用的保护。卡巴斯基工业网络安全可保护工业端点，实现OT网络监控，以识别和阻止恶意活动。

关于卡巴斯基ICS CERT

卡巴斯基工业控制系统网络应急响应小组（卡巴斯基ICS CERT）是卡巴斯基于2016年发起的一个全球性项目，旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力，以保护工业企业免受网络攻击。卡巴斯基ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。卡巴斯基ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。ics-cert.kaspersky.com

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.