最近恶意威胁黑客利用流行的Autodesk 3D计算机绘图软件漏洞,对一家国际建筑和图片制作公司发动网络间谍攻击。研究人员表示,进一步分析显示,攻击是由一个采用精致复杂高端持续威胁(APT)攻击手法的黑客组织发动,他们事先研究了解公司安全系统与使用软件应用程序,随即精心策划攻击渗透公司网络,并在不被发现的情况下窃取资料。
这家沦为黑客目标式攻击对象的公司在纽约、伦敦、澳洲和阿曼等地从事数十亿美元的房地产联合开发案,但研究人员并未透露公司名称。
这起攻击的一大特点就是使用Autodesk 3DS Max的恶意插件程序。3DS Max是欧特克(Autodesk)旗下Autodesk Media and Entertainment部门开发,工程、建筑或游戏公司制作3D动画专用的计算机绘图程序。
“调查期间,Bitdefender研究人员发现,威胁发动者拥有一整套具强大间谍功能的工具集,并利用热门3D计算机绘图软件(也即Autodesk 3DS Max)不为人知的安全漏洞来发动目标式攻击。”Bitdefender研究人员于26日分析报告指出。
黑客利用“PhysXPluginMfx”插件及HdCrawler、InfoStealer间谍工具
此恶意封包负载据称是Autodesk 3DS Max的插件程序(尽管没有说明到底如何引诱并说服受害者下载插件程序)。此插件程序是针对Autodesk 3DS Max之MAXScript漏洞攻击程序的变种程序,名为“PhysXPluginMfx”。
此漏洞可破坏3DS Max软件设置以运行恶意程序代码,并最终散播到Windows系统其他文件(一旦包含恶意脚本程序的文件加载3DS Max)。
Autodesk在8月初就已对安全漏洞发布安全公告:“Autodesk建议3DS Max用户下载Autodesk App Store提供的最新版Autodesk 3DS Max 2021-2015 SP1安全工具,以识别并删除PhysXPluginMfx MAXScript恶意软件。”
在这种特定间谍活动,攻击者会利用MAXScript PhysXPluginStl漏洞下载并执行嵌入式DLL文件,文件会充当两个.net二进制档的加载器,然后这些文件会下载其他恶意MAXScript,脚本程序会收集有关受害者的各种信息(包括Google Chrome和Firefox的网络浏览器密码,以及有关计算机和屏幕截屏的信息),并使用定制划算法加密并将结果遮起来,看起来像base64内容。
APT攻击的一部分,研究人员发现威胁发动者使用大量间谍工具,包括HdCrawler,可列出、压缩并上传特定文件至命令与控制服务器(C2);还有一个叫InfoStealer的间谍工具,可截取屏幕画面,并收集用户名、网卡/芯片IP地址、存储信息及更多系统信息。
我们可从规避安全侦测的狡策略看到这些攻击者采用手法的复杂程度,研究人员进一步指出,如果“任务管理器”或“性能监视器”应用程序在攻击过程运行(可从各自的窗口中查看工作及资源使用状况),黑客会设置一个旗标,以指示二进制档频繁进入休眠状态(进而减少CPU使用量,因使用量愈高对受害者来说是危险信号)。尽管攻击者成功入侵受害公司,但尚不清楚实际窃取了多少信息。
APT雇佣组织在商业战越来越受欢迎
研究人员表示,借由这起攻击行动归纳出的另一个重要结论就是,此攻击是由“APT雇佣兵组织”发起,是相当老练的恶意攻击者,会兜售强大的间谍工具,并向出价最高的人提供服务。Bitdefender全球网络安全分析师Liviu Arsene指出,这起事件的威胁攻击者使用韩国C2基础设施,所以很可能就是这类黑客组织。
“调查过程披露的黑客攻击战术流程(Tactics, Techniques and Procedures,TTP)确实显示APT攻击手法,这意味着黑客具备必要的知识和技能,可对选定的受害者发动协同式与针对性的精准攻击,”Arsene指出:“再加上他们利用受害公司使用软件的未知漏洞,这既显示入侵前相关信息探测的能力(通常与具备提前侦察受害者状况能力的高端黑客有关),以及他们有发现并利用这类安全漏洞的技术。”
APT雇佣组织在安全威胁领域越来越受欢迎。目前发现的APT雇佣兵组织包括StrongPity APT和Dark Basin黑客组织,据称会代表客户试图破坏或渗透金融、法律等领域的知名企业目标,如今也将矛头指向价值数十亿美元的房地产业。
“APT雇佣黑客的商品化,可能诱使参与数十亿美元契约项目的顶级房地产竞争投资者寻求这些APT攻击服务,并经承承包商的网络渗透秘密监视竞争对手,”Bitdefender研究人员表示:“工业间谍活动并不是什么新鲜事,且由于房地产行业竞争激烈,面对价值数十亿美元的契约,想赢得顶级项目契约的风险很高,因此有理由寻求APT雇佣兵组织协助,以获得谈判优势。”
(首图来源:Autodesk)