据外媒ZDNet报道,有安全专家在最近发现了一起非常独特的恶意软件分发活动,其目标是那些在设计工作中使用AutoCAD软件的公司。
报道称,这起活动是由来自网络安全公司Forcepoint的安全专家发现的,该公司在本周早些时候向ZDNet分享了这一调查结果。从该公司提供的遥测数据来看,这起活动似乎开始于2014年,并一直活跃至今。
Forcepoint的安全专家表示,这起活动背后的黑客组织有可能非常复杂。可以确定的是他们主要对工业间谍活动感兴趣,这是因为其主要感染媒介就是AutoCAD。这是一种具有潜在高价值的软件,主要使用群体是工程师和设计师。
Forcepoint公司在其分析报告中写道:“大多数的受感染设备都位于中国、印度、土耳其和阿联酋。对C2域名的调查表明,攻击者已经成功感染了多个地区的多家公司,其中至少有一起活动可能专注于能源行业,另一个主要受影响的就是汽车行业。其次,受害者中也包含一个建筑公司,以及国家道路维护当局。”
研究人员表示,整个攻击从鱼叉式网络钓鱼电子邮件开始,这些电子邮件要么包含内嵌恶意AutoCAD文件压缩文件(ZIP文件)附件,要么包含指向用于下载ZIP文件的恶意网站链接(防止诱饵文件的大小超出标准电子邮件服务器的文件附件大小限制。)
Forcepoint的安全专家表示,鱼叉式网络钓鱼活动使用了明显已经被盗的设计图纸来作为“诱饵”,这些图纸均来自一些重大项目,如酒店、工厂建筑、甚至是港珠澳大桥(于上个月正式通车)。攻击者目的可能是为了获得更多的设计文件,要么是用于窃取知识产权,要么是通过暗网黑市出售以获取非法收益。
安全专家表示,用户之所以会受到感染,是因为他们所收到的带有AutoCAD(.cad)项目的ZIP文件也包含隐藏的Fast-Load AutoLISP(.fas)模块。
这些.fas模块相当于AutoCAD软件的脚本组件,类似于Word文件的宏。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而不是使用VisualBasic或PowerShell(宏使用的首选脚本组件)。
AutoCAD软件会根据受害者的AutoCAD安装设置,在用户打开主.cad项目或任意.cad项目时自动执行这些.fas脚本模块。虽然AutoCAD软件的最新版本(2014年后发布的版本)会在执行.fas模块时弹出警告,就像Office应用程序中的宏警告一样,但大多数人通常都倾向于忽视安全警告,以尽快打开和查看主文件内容。
“在过去的几个月里,我们跟踪并分析了大量的‘acad.fas’版本(300多个压缩文件包含了大约100多个独特的恶意模块),这看起来像是基于小型下载程序组件的扩展活动。”Forcepoint在其分析报告中写道。
安全专家表示,他们所发现的这些恶意“acad.fas”模块可能会尝试连接到C&C服务器,以下载其它的恶意软件,但是目前并不能够确定下一阶段的恶意软件会是什么。
他们还表示,这起活动背后的黑客组织似乎主要针对的就是使用AutoCAD软件的用户,因为相同的C&C服务器IP地址在更早AutoCAD恶意软件活动中就已经被使用过。
Forcepoint建议所有AutoCAD用户请务必查看Autodesk的AutoCAD安全建议页面,以获取有关如何对AutoCAD进行安全配置,从而防范恶意模块的提示。
这个页面包含如何限制AutoCAD执行FAS和其它脚本模块配置步骤,以及其他的一些建议。比如,当受到恶意代码攻击时,如何恢复和清理AutoCAD安装。
此外,Forcepoint还警告说,该黑客组织也可能会通过包含恶意AutoCAD文件的CD/DVD或U盘的邮政包裹来传播恶意软件。虽然这种攻击方式对于许多人来说并不常见,但对于设计和工程公司来说是适用的。这主要是因为一些AutoCAD文件大小(如用于存储零件或建筑结构的渲染)很容易就达到1GB以上,通过电子邮件来发送会非常不方便,再加上许多公司会担心通过网络传输会暴露他们的专有设计,他们通常都会选择通过邮寄服务来发送他们文件。
最后需要指出的是,这并不非网络犯罪分子首次使用AutoCAD恶意软件来攻击某些特定行业的公司,早在2009年和2012年均发生过类似的事件。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态