最近恶意威胁骇客利用流行的 Autodesk 3D 电脑绘图软件漏洞,对一家国际建筑和影像制作公司发动网络间谍攻击。研究人员表示,进一步分析显示,攻击是由一个采用精致复杂进阶持续威胁(APT)攻击手法的骇客组织发动,他们事先研究了解公司安全系统与使用软件应用程序,随即精心策划攻击渗透公司网络,并在不被发现的情况下窃取资料。
这家沦为骇客目标式攻击对象的公司在纽约、伦敦、澳洲和阿曼等地从事数十亿美元的房地产联合开发案,但研究人员并未透露公司名称。
这起攻击的一大特点就是使用 Autodesk 3DS Max 的恶意插件。3DS Max 是欧特克(Autodesk)旗下 Autodesk Media and Entertainment 部门开发,工程、建筑或游戏公司制作 3D 动画专用的电脑绘图程式。
“调查期间,Bitdefender 研究人员发现,威胁发动者拥有一整套具强大间谍功能的工具集,并利用热门 3D 电脑绘图软件(亦即 Autodesk 3DS Max)不为人知的安全漏洞来发动目标式攻击。”Bitdefender 研究人员于 26 日分析报告指出。
骇客利用“PhysXPluginMfx”外挂及 HdCrawler、InfoStealer 间谍工具
此恶意封包负载据称是 Autodesk 3DS Max 的插件(尽管没有说明到底如何引诱并说服受害者下载插件)。此插件是针对 Autodesk 3DS Max 之 MAXScript 漏洞攻击程式的变种程式,名为“PhysXPluginMfx”。
此漏洞可破坏 3DS Max 软件设置以运行恶意程式码,并最终散播到 Windows 系统其他档案(一旦包含恶意脚本程式的档案载入 3DS Max)。
Autodesk 在 8 月初就已对安全漏洞发布安全公告:“Autodesk 建议 3DS Max 用户下载 Autodesk App Store 提供的最新版 Autodesk 3DS Max 2021-2015 SP1 安全工具,以辨识并删除 PhysXPluginMfx MAXScript 恶意软件。”
在这种特定间谍活动,攻击者会利用 MAXScript PhysXPluginStl 漏洞下载并执行嵌入式 DLL 档案,档案会充当两个 .net 二进制档的载入器,然后这些档案会下载其他恶意 MAXScript,脚本程式会收集有关受害者的各种资讯(包括 Google Chrome 和 Firefox 的网络浏览器密码,以及有关电脑和屏幕截图的资讯),并使用客制化算法加密并将结果遮起来,看起来像 base64 内容。
APT 攻击的一部分,研究人员发现威胁发动者使用大量间谍工具,包括 HdCrawler,可列出、压缩并上传特定档案至命令与控制服务器(C2);还有一个叫 InfoStealer 的间谍工具,可撷取屏幕画面,并收集使用者名称、网络卡/芯片 IP 位址、储存资讯及更多系统资讯。
我们可从规避安全侦测的狡策略看到这些攻击者采用手法的复杂程度,研究人员进一步指出,如果“工作管理员”或“效能监视器”应用程序在攻击过程运行(可从各自的视窗中检视工作及资源使用状况),骇客会设置一个旗标,以指示二进制档频繁进入休眠状态(进而减少 CPU 使用量,因使用量愈高对受害者来说是危险讯号)。尽管攻击者成功入侵受害公司,但尚不清楚实际窃取了多少资讯。
APT 雇佣组织在商业战越来越受欢迎
研究人员表示,借由这起攻击行动归纳出的另一个重要结论就是,此攻击是由“APT雇佣兵组织”发起,是相当老练的恶意攻击者,会兜售强大的间谍工具,并向出价最高的人提供服务。Bitdefender 全球网络安全分析师 Liviu Arsene 指出,这起事件的威胁攻击者使用韩国 C2 基础设施,所以很可能就是这类骇客组织。
“调查过程揭露的骇客攻击战术流程(Tactics, Techniques and Procedures,TTP)确实显示 APT 攻击手法,这意味着骇客具备必要的知识和技能,可对选定的受害者发动协同式与针对性的精准攻击,”Arsene 指出:“再加上他们利用受害公司使用软件的未知漏洞,这既显示入侵前相关资讯探测的能力(通常与具备提前侦察受害者状况能力的进阶骇客有关),以及他们有发现并利用这类安全漏洞的技术。”
APT 雇佣组织在安全威胁领域越来越受欢迎。目前发现的 APT 雇佣兵组织包括 StrongPity APT 和 Dark Basin 骇客组织,据称会代表客户试图破坏或渗透金融、法律等领域的知名企业目标,如今也将矛头指向价值数十亿美元的房地产业。
“ APT 雇佣骇客的商品化,可能诱使参与数十亿美元契约专案的顶级房地产竞争投资者寻求这些 APT 攻击服务,并经承包商的网络渗透秘密监视竞争对手,”Bitdefender 研究人员表示:“工业间谍活动并不是什么新鲜事,且由于房地产行业竞争激烈,面对价值数十亿美元的契约,想赢得顶级专案契约的风险很高,因此有理由寻求 APT 雇佣兵组织协助,以获得谈判优势。”
- Hackers Exploit Autodesk Flaw in Recent Cyberespionage Attack
(首图来源:Autodesk)
