APT組織利用Autodesk 3D Max軟件進行工業間諜活動
作者:hatjwe
2020-08-26
對于APT組織來說�����,通過網絡間諜活動來獲取利益是一回事���。但當他們被私人公司用作“受雇黑客”�����,竊取機密信息時���,情況就完全不同了��。
Bitdefender的網絡威脅情報實驗室又發現了一起針對一家主要業務為國際建筑和視頻制作公司的間諜攻擊�,在該公司發現了明顯的攻擊特征��。
Bitdefender的研究人員在今天發布的一份報告中說:“這個網絡犯罪集團使用了一個污染的�����、專門為Autodesk 3ds Max制作的插件來滲透該公司����?��!?/span>
雖然之前也有過類似的雇傭軍組織���,如“Dark Basin 和 Deceptikons (aka DeathStalker) “針對金融和法律部門的例子����,但這是第一次在房地產行業發現的嚴重威脅行為�。
使用污染的Autodesk 3ds Max插件
在本月早些時候發布的一份報告中�,Autodesk警告用戶警惕一種名為“PhysXPluginMfx”的MAXScript漏洞��,該漏洞可以破壞3ds Max的設置���,運行惡意代碼�,并在將受感染的文件加載到該軟件時傳播到Windows系統中的其他Max文件�����。
但是根據Bitdefender的分析��,這個MAXScript加密樣本(“PhysXPluginStl.mse”)包含了一個嵌入的DLL文件����,該文件隨后從C&C服務器下載了額外的.net二進制文件��,其最終目的是竊取重要文件���。
而二進制文件則負責下載其他惡意的maxscript�����,這些maxscript能夠收集關于受損機器的信息���,并將詳細信息泄露給遠程服務器�����,遠程服務器會傳送最終的有效負載��,以捕獲屏幕截圖并從Firefox���、谷歌Chrome和Internet Explorer等web瀏覽器收集密碼�。
除了利用睡眠機制隱藏雷達和逃避檢測�,Bitdefender的研究人員還發現惡意軟件的作者有一個完整的工具集來監視它的受害者�����,包括一個“HdCrawler”二進制文件�,它的工作是枚舉和上傳帶有特定擴展名的文件���。.jpg��, .png���, .zip���, .obb����, .uasset等)到服務器���,以及一個具有廣泛功能的信息竊取器�����。 偷竊者范圍從用戶名,計算機名,網絡適配器的IP地址,Windows ProductName,版本的���。net框架,處理器(數量的核心,速度,和其他信息)等等�。 由于房地產行業競爭激烈�����,合同價值數十億美元�����,贏得豪華項目合同的風險很高����,因此有理由求助于唯利是圖的團體�����,以獲得談判優勢�,未來可能會愈演愈烈����。 建議3ds Max用戶下載最新版本的Autodesk 3ds Max 2021-2015SP1安全工具�����,檢測并刪除PhysXPluginMfx MAXScript惡意軟件����。
參考來源:
hackernews
(轉載來自:FreeBuf.com)
快速鏈接
京公網安備11010802024551號