利用基于AutoCAD恶意软件的工业间谍活动

访客4年前黑客文章399

近日, *** 安全公司Forcepoint的研究人员发现了一种特殊的恶意软件分发行动,其目标是使用基于AutoCAD的恶意软件的公司。根据该公司遥测数据显示,自2014年以来,此项行动似乎一直处于活跃状态。
Forcepoint表示,最近发现了一起行动,并且发起该活动的组织很可能非常老练,他们的主要动机在工业间谍活动上。Forcepoint调查后发现该组织专注于使用像AutoCAD这样的利基感染载体,而AutoCAD是一款非常昂贵的软件,主要由工程师和设计师使用。
Forcepoint的专家在一份即将发表的调查报告中写道:
这些威胁行为者成功瞄准了多个地理位置的多家公司,其中至少有一家企业属于能源行业。
研究人员表示,黑客组织使用鱼叉式 *** 钓鱼电子邮件,这些邮件要么含有恶意AutoCAD文件的档案,要么含有指向受害者可以自行下载ZIP文件的网站的链接,以防“诱饵”文件需要超过标准电子邮件服务器的文件附件限制。这种“鱼叉式”钓鱼活动利用酒店、厂房、甚至港珠澳大桥等重大项目的已被盗的设计文件,作为进一步传播的诱饵。
威胁源头——AUTOCAD的脚本功能
Forcepoint表示,受害者有很大的概率会被感染,因为他们收到的带有AutoCAD (.cad)项目的ZIP文件也包含隐藏的快速加载AutoLISP (.fas)模块。
这些.fas模块相当于AutoCAD设计软件的脚本组件,类似于Word文件的宏。不同之处在于,FAS模块使用Lisp编程语言编写脚本,而不是使用VisualBasic或PowerShell,后者是与宏一起使用的首选脚本组件。
根据AutoCAD的安装设置,AutoCAD应用程序将在用户打开main.cad或任意.cad项目时自动执行这些.fas脚本模块。
AutoCAD软件的最新版本(2014年之后发布的版本)会在执行.fas模块时显示警告,但就像Office应用程序中的宏警告一样,有些人通常倾向于不考虑后果的略过所有安全警报,直奔内容而去。
分析进展
Forcepoint表示对此项行动的分析仍在持续跟进之中,
在过去的几个月中,我们已经跟踪并分析了大量(超过200个数据集和大约40个独特的恶意模块)的'acad.fas'版本,这些版本看起来像是基于一个小型下载器组件的扩展。
目前还不清楚余下的行动结果如何。研究人员观察到的恶意“aca .fas”模块会试图连接到远程命令控制(C&C)服务器,下载其他恶意软件,但还无法确定后续的恶意软件是什么。
研究人员表示:
目前尚不清楚,服务器端进行了额外检查,是为了方便针对特定受害者,还是仅仅是目前行动‘不活跃’状态下的产物。
Forcepoint表示,这个行动背后的团体似乎是一个基于AutoCAD恶意软件的狂热分子,因为C&C服务器的IP地址在以前的AutoCAD恶意软件活动中使用过。
此外,研究人员表示,这台C&C服务器正在运行的似乎是Microsoft Internet Information Server 6.0的中文版本,并且邻近的IP地址上也有托管类似的服务,很可能是一个更大的攻击设备的一部分。
如何自保
Forcepoint建议所有AutoCAD用户查看Autodesk的AutoCAD安全建议页面,了解如何防止恶意模块进行安全配置的技巧。该页面包括了如何限制AutoCAD执行FAS和其他脚本模块的能力的步骤,还有一些其他建议,比如如何在受到恶意代码攻击后恢复和清理AutoCAD安装。
此外,Forcepoint还警告称,黑客组织可能还会通过含有AutoCAD恶意文件的CD/DVD或USB驱动器的邮包发送一些恶意软件。
虽然有些人可能会认为此次行动对自身影响不大,但实际上这在许多设计和工程公司中都很常见,主要是因为一些用于存储零件或建筑结构的渲染的AutoCAD文件,可以很容易的达到1GB以上大小,许多公司担心在线暴露专有设计,而是依靠courrier服务来交换他们的一些文件。
当然,这也不是 *** 犯罪分子之一次使用基于AutoCAD的恶意软件来感染公司了,之前的记录分别是在2009年和2012年。

相关文章

找黑客破解qq密码大概多少钱-黑客如何入侵手机教程(黑客如何入侵电脑

怎么能和黑客一样盗qq黑客攻击714网贷平台(黑客攻击)浏览器被黑客拦截了怎么弄有黑客可以找回赌博输的钱吗(与黑客合作赌博)怎么让黑客吸粪贴吧(吸粪车吸粪照片)大众点评怎么删除评论黑客模拟黑客网站名称...

东汉末年地图(东汉十三州郡县详图高清)

东汉末年地图(东汉十三州郡县详图高清) 从公米190年董卓用事至公米207年曹操统一北方,中原地带混战连年。自古以来的王霸之地关中经过董卓之乱以及后续军阀的骚扰不仅长安城中尽空,而且昔日繁华的关中地...

疫情当前,减少人倪志福追悼会员流动是最大的保护

  疫情当前,减少人员流动是最大的保护   ■ 社论   当前的疫情形势,不断强化着“就地过年”与“能不动就不动”的必要性和紧迫性。   1月20日,国家卫健委“春节返乡需持7日内核酸阴性证明”的消...

mc黑客网,黑客软件破解网络,破解黑客网站

Dump of assembler code for function main:2019年1月8号,趋势科技在Google play中发现了一个活泼的广告软件系列。 该系列软件假装成85个游戏,电视...

怎么查移动手机通话记录或者定位找人(3种方法

蓝牙SIG,一个监督蓝牙技术标准的组织,现已针对上述情况发布了一个安全通知。通知指出一个名为Key Negotiation of Bluetooth(简称KNOB,蓝牙关键协商)的新攻击方式正在形...