近日， *** 安全公司Forcepoint的研究人员发现了一种特殊的恶意软件分发行动，其目标是使用基于AutoCAD的恶意软件的公司。根据该公司遥测数据显示，自2014年以来，此项行动似乎一直处于活跃状态。
Forcepoint表示，最近发现了一起行动，并且发起该活动的组织很可能非常老练，他们的主要动机在工业间谍活动上。Forcepoint调查后发现该组织专注于使用像AutoCAD这样的利基感染载体，而AutoCAD是一款非常昂贵的软件，主要由工程师和设计师使用。
Forcepoint的专家在一份即将发表的调查报告中写道：
这些威胁行为者成功瞄准了多个地理位置的多家公司，其中至少有一家企业属于能源行业。
研究人员表示，黑客组织使用鱼叉式 *** 钓鱼电子邮件，这些邮件要么含有恶意AutoCAD文件的档案，要么含有指向受害者可以自行下载ZIP文件的网站的链接，以防“诱饵”文件需要超过标准电子邮件服务器的文件附件限制。这种“鱼叉式”钓鱼活动利用酒店、厂房、甚至港珠澳大桥等重大项目的已被盗的设计文件，作为进一步传播的诱饵。
威胁源头——AUTOCAD的脚本功能
Forcepoint表示，受害者有很大的概率会被感染，因为他们收到的带有AutoCAD (.cad)项目的ZIP文件也包含隐藏的快速加载AutoLISP (.fas)模块。
这些.fas模块相当于AutoCAD设计软件的脚本组件，类似于Word文件的宏。不同之处在于，FAS模块使用Lisp编程语言编写脚本，而不是使用VisualBasic或PowerShell，后者是与宏一起使用的首选脚本组件。
根据AutoCAD的安装设置，AutoCAD应用程序将在用户打开main.cad或任意.cad项目时自动执行这些.fas脚本模块。
AutoCAD软件的最新版本（2014年之后发布的版本）会在执行.fas模块时显示警告，但就像Office应用程序中的宏警告一样，有些人通常倾向于不考虑后果的略过所有安全警报，直奔内容而去。
分析进展
Forcepoint表示对此项行动的分析仍在持续跟进之中，
在过去的几个月中，我们已经跟踪并分析了大量（超过200个数据集和大约40个独特的恶意模块）的'acad.fas'版本，这些版本看起来像是基于一个小型下载器组件的扩展。
目前还不清楚余下的行动结果如何。研究人员观察到的恶意“aca .fas”模块会试图连接到远程命令控制(C&C)服务器，下载其他恶意软件，但还无法确定后续的恶意软件是什么。
研究人员表示:
目前尚不清楚，服务器端进行了额外检查，是为了方便针对特定受害者，还是仅仅是目前行动‘不活跃’状态下的产物。
Forcepoint表示，这个行动背后的团体似乎是一个基于AutoCAD恶意软件的狂热分子，因为C&C服务器的IP地址在以前的AutoCAD恶意软件活动中使用过。
此外，研究人员表示，这台C＆C服务器正在运行的似乎是Microsoft Internet Information Server 6.0的中文版本，并且邻近的IP地址上也有托管类似的服务，很可能是一个更大的攻击设备的一部分。
如何自保
Forcepoint建议所有AutoCAD用户查看Autodesk的AutoCAD安全建议页面，了解如何防止恶意模块进行安全配置的技巧。该页面包括了如何限制AutoCAD执行FAS和其他脚本模块的能力的步骤，还有一些其他建议，比如如何在受到恶意代码攻击后恢复和清理AutoCAD安装。
此外，Forcepoint还警告称，黑客组织可能还会通过含有AutoCAD恶意文件的CD/DVD或USB驱动器的邮包发送一些恶意软件。
虽然有些人可能会认为此次行动对自身影响不大，但实际上这在许多设计和工程公司中都很常见，主要是因为一些用于存储零件或建筑结构的渲染的AutoCAD文件，可以很容易的达到1GB以上大小，许多公司担心在线暴露专有设计，而是依靠courrier服务来交换他们的一些文件。
当然，这也不是 *** 犯罪分子之一次使用基于AutoCAD的恶意软件来感染公司了，之前的记录分别是在2009年和2012年。