國際建築公司遭 APT 僱傭組織攻擊,Autodesk 3DS Max 淪為重大工程間諜戰目標

作者 | 發布日期 2020 年 08 月 28 日 8:15 | 分類 網路 , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


最近惡意威脅駭客利用流行的 Autodesk 3D 電腦繪圖軟體漏洞,對一家國際建築和影像製作公司發動網路間諜攻擊。研究人員表示,進一步分析顯示,攻擊是由一個採用精緻複雜進階持續威脅(APT)攻擊手法的駭客組織發動,他們事先研究了解公司安全系統與使用軟體應用程式,隨即精心策劃攻擊滲透公司網路,並在不被發現的情況下竊取資料。 

這家淪為駭客目標式攻擊對象的公司在紐約、倫敦、澳洲和阿曼等地從事數十億美元的房地產聯合開發案,但研究人員並未透露公司名稱。

這起攻擊的一大特點就是使用 Autodesk 3DS Max 的惡意外掛程式。3DS Max 是歐特克(Autodesk)旗下 Autodesk Media and Entertainment 部門開發,工程、建築或遊戲公司製作 3D 動畫專用的電腦繪圖程式。

「調查期間,Bitdefender 研究人員發現,威脅發動者擁有一整套具強大間諜功能的工具集,並利用熱門 3D 電腦繪圖軟體(亦即 Autodesk 3DS Max)不為人知的安全漏洞來發動目標式攻擊。」Bitdefender 研究人員於 26 日分析報告指出。

駭客利用「PhysXPluginMfx」外掛及 HdCrawler、InfoStealer 間諜工具

此惡意封包負載據稱是 Autodesk 3DS Max 的外掛程式(儘管沒有說明到底如何引誘並說服受害者下載外掛程式)。此外掛程式是針對 Autodesk 3DS Max 之 MAXScript 漏洞攻擊程式的變種程式,名為「PhysXPluginMfx」。

此漏洞可破壞 3DS Max 軟體設置以運行惡意程式碼,並最終散播到 Windows 系統其他檔案(一旦包含惡意腳本程式的檔案載入 3DS Max)。

Autodesk 在 8 月初就已對安全漏洞發布安全公告:「Autodesk 建議 3DS Max 用戶下載 Autodesk App Store 提供的最新版 Autodesk 3DS Max 2021-2015 SP1 安全工具,以辨識並刪除 PhysXPluginMfx MAXScript 惡意軟體。」

在這種特定間諜活動,攻擊者會利用 MAXScript PhysXPluginStl 漏洞下載並執行嵌入式 DLL 檔案,檔案會充當兩個 .net 二進制檔的載入器,然後這些檔案會下載其他惡意 MAXScript,腳本程式會收集有關受害者的各種資訊(包括 Google Chrome 和 Firefox 的網路瀏覽器密碼,以及有關電腦和螢幕截圖的資訊),並使用客製化演算法加密並將結果遮起來,看起來像 base64 內容。

APT 攻擊的一部分,研究人員發現威脅發動者使用大量間諜工具,包括 HdCrawler,可列出、壓縮並上傳特定檔案至命令與控制伺服器(C2);還有一個叫 InfoStealer 的間諜工具,可擷取螢幕畫面,並收集使用者名稱、網路卡/晶片 IP 位址、儲存資訊及更多系統資訊。

我們可從規避安全偵測的狡策略看到這些攻擊者採用手法的複雜程度,研究人員進一步指出,如果「工作管理員」或「效能監視器」應用程式在攻擊過程運行(可從各自的視窗中檢視工作及資源使用狀況),駭客會設置一個旗標,以指示二進制檔頻繁進入休眠狀態(進而減少 CPU 使用量,因使用量愈高對受害者來說是危險訊號)。儘管攻擊者成功入侵受害公司,但尚不清楚實際竊取了多少資訊。

APT 僱傭組織在商業戰越來越受歡迎

研究人員表示,藉由這起攻擊行動歸納出的另一個重要結論就是,此攻擊是由「APT僱傭兵組織」發起,是相當老練的惡意攻擊者,會兜售強大的間諜工具,並向出價最高的人提供服務。Bitdefender 全球網路安全分析師 Liviu Arsene 指出,這起事件的威脅攻擊者使用南韓 C2 基礎設施,所以很可能就是這類駭客組織。

「調查過程揭露的駭客攻擊戰術流程(Tactics, Techniques and Procedures,TTP)確實顯示 APT 攻擊手法,這意味著駭客具備必要的知識和技能,可對選定的受害者發動協同式與針對性的精準攻擊,」Arsene 指出:「再加上他們利用受害公司使用軟體的未知漏洞,這既顯示入侵前相關資訊探測的能力(通常與具備提前偵察受害者狀況能力的進階駭客有關),以及他們有發現並利用這類安全漏洞的技術。」

APT 僱傭組織在安全威脅領域越來越受歡迎。目前發現的 APT 僱傭兵組織包括 StrongPity APT 和 Dark Basin 駭客組織,據稱會代表客戶試圖破壞或滲透金融、法律等領域的知名企業目標,如今也將矛頭指向價值數十億美元的房地產業。

「 APT 僱傭駭客的商品化,可能誘使參與數十億美元契約專案的頂級房地產競爭投資者尋求這些 APT 攻擊服務,並經承包商的網路滲透祕密監視競爭對手,」Bitdefender 研究人員表示:「工業間諜活動並不是什麼新鮮事,且由於房地產行業競爭激烈,面對價值數十億美元的契約,想贏得頂級專案契約的風險很高,因此有理由尋求 APT 僱傭兵組織協助,以獲得談判優勢。」

(首圖來源:Autodesk