近日, *** 安全公司Forcepoint的研究人员发现了一种特殊的恶意软件分发行动,其目标是使用基于AutoCAD的恶意软件的公司。根据该公司遥测数据显示,自2014年以来,此项行动似乎一直处于活跃状态。
Forcepoint表示,最近发现了一起行动,并且发起该活动的组织很可能非常老练,他们的主要动机在工业间谍活动上。Forcepoint调查后发现该组织专注于使用像AutoCAD这样的利基感染载体,而AutoCAD是一款非常昂贵的软件,主要由工程师和设计师使用。
Forcepoint的专家在一份即将发表的调查报告中写道:
这些威胁行为者成功瞄准了多个地理位置的多家公司,其中至少有一家企业属于能源行业。
研究人员表示,黑客组织使用鱼叉式 *** 钓鱼电子邮件,这些邮件要么含有恶意AutoCAD文件的档案,要么含有指向受害者可以自行下载ZIP文件的网站的链接,以防“诱饵”文件需要超过标准电子邮件服务器的文件附件限制。这种“鱼叉式”钓鱼活动利用酒店、厂房、甚至港珠澳大桥等重大项目的已被盗的设计文件,作为进一步传播的诱饵。
威胁源头——AUTOCAD的脚本功能
Forcepoint表示,受害者有很大的概率会被感染,因为他们收到的带有AutoCAD (.cad)项目的ZIP文件也包含隐藏的快速加载AutoLISP (.fas)模块。
这些.fas模块相当于AutoCAD设计软件的脚本组件,类似于Word文件的宏。不同之处在于,FAS模块使用Lisp编程语言编写脚本,而不是使用VisualBasic或PowerShell,后者是与宏一起使用的首选脚本组件。
根据AutoCAD的安装设置,AutoCAD应用程序将在用户打开main.cad或任意.cad项目时自动执行这些.fas脚本模块。
AutoCAD软件的最新版本(2014年之后发布的版本)会在执行.fas模块时显示警告,但就像Office应用程序中的宏警告一样,有些人通常倾向于不考虑后果的略过所有安全警报,直奔内容而去。
分析进展
Forcepoint表示对此项行动的分析仍在持续跟进之中,
在过去的几个月中,我们已经跟踪并分析了大量(超过200个数据集和大约40个独特的恶意模块)的'acad.fas'版本,这些版本看起来像是基于一个小型下载器组件的扩展。
目前还不清楚余下的行动结果如何。研究人员观察到的恶意“aca .fas”模块会试图连接到远程命令控制(C&C)服务器,下载其他恶意软件,但还无法确定后续的恶意软件是什么。
研究人员表示:
目前尚不清楚,服务器端进行了额外检查,是为了方便针对特定受害者,还是仅仅是目前行动‘不活跃’状态下的产物。
Forcepoint表示,这个行动背后的团体似乎是一个基于AutoCAD恶意软件的狂热分子,因为C&C服务器的IP地址在以前的AutoCAD恶意软件活动中使用过。
此外,研究人员表示,这台C&C服务器正在运行的似乎是Microsoft Internet Information Server 6.0的中文版本,并且邻近的IP地址上也有托管类似的服务,很可能是一个更大的攻击设备的一部分。
如何自保
Forcepoint建议所有AutoCAD用户查看Autodesk的AutoCAD安全建议页面,了解如何防止恶意模块进行安全配置的技巧。该页面包括了如何限制AutoCAD执行FAS和其他脚本模块的能力的步骤,还有一些其他建议,比如如何在受到恶意代码攻击后恢复和清理AutoCAD安装。
此外,Forcepoint还警告称,黑客组织可能还会通过含有AutoCAD恶意文件的CD/DVD或USB驱动器的邮包发送一些恶意软件。
虽然有些人可能会认为此次行动对自身影响不大,但实际上这在许多设计和工程公司中都很常见,主要是因为一些用于存储零件或建筑结构的渲染的AutoCAD文件,可以很容易的达到1GB以上大小,许多公司担心在线暴露专有设计,而是依靠courrier服务来交换他们的一些文件。
当然,这也不是 *** 犯罪分子之一次使用基于AutoCAD的恶意软件来感染公司了,之前的记录分别是在2009年和2012年。
唐人街探案2当中的女黑客KIKO是谁演的 1、唐人街探案二kiko扮演者叫尚语贤。尚语贤1994年7月28日出生于四川省,中国内地女演员,毕业于北京电影学院。2014年,参演个人首部电影《老炮儿》而进...
本文导读目录: 1、俄罗斯不能参加奥运会原因 2、孙杨为什么禁赛 3、加强立法兴奋剂问题“零容忍”,对于反兴奋剂有什么意义? 4、国际体育仲裁法庭对于俄罗斯最终有什么样的判罚? 5、俄...
微信找黑客相关问题 什么软件可以防止黑客入侵相关问题 为什么微信会经常被黑客挤掉 淘宝店主个人信息(如何查看淘宝店主信息)...
我一直觉得iPhone的售后服务非常好,常常内置干食给iPhone宣传策划,但这种日子跑了几回售后服务,显著觉得服务项目河流日下。从我本人的亲自体会及其对一些盆友的掌握,看得出来iPhone针对受权服...
对微软公司而言,当苹果市值于2010年首超微软公司时,已够糟了。如今,一家十五年前还并未创建的企业——Google,又对它干了一样的事。 周一,在股市收盘以后,谷歌市值做到2492亿美金,超出了...
黑客是怎样找到电脑漏洞的:为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的,只有了解...