导语:近日,网络安全公司Forcepoint的研究人员发现了一种特殊的恶意软件分发行动,其目标是使用基于AutoCAD的恶意软件的公司。
近日,网络安全公司Forcepoint的研究人员发现了一种特殊的恶意软件分发行动,其目标是使用基于AutoCAD的恶意软件的公司。根据该公司遥测数据显示,自2014年以来,此项行动似乎一直处于活跃状态。
Forcepoint表示,最近发现了一起行动,并且发起该活动的组织很可能非常老练,他们的主要动机在工业间谍活动上。Forcepoint调查后发现该组织专注于使用像AutoCAD这样的利基感染载体,而AutoCAD是一款非常昂贵的软件,主要由工程师和设计师使用。
Forcepoint的专家在一份即将发表的调查报告中写道:
这些威胁行为者成功瞄准了多个地理位置的多家公司,其中至少有一家企业属于能源行业。
研究人员表示,黑客组织使用鱼叉式网络钓鱼电子邮件,这些邮件要么含有恶意AutoCAD文件的档案,要么含有指向受害者可以自行下载ZIP文件的网站的链接,以防“诱饵”文件需要超过标准电子邮件服务器的文件附件限制。这种“鱼叉式”钓鱼活动利用酒店、厂房、甚至港珠澳大桥等重大项目的已被盗的设计文件,作为进一步传播的诱饵。
威胁源头——AUTOCAD的脚本功能
Forcepoint表示,受害者有很大的概率会被感染,因为他们收到的带有AutoCAD (.cad)项目的ZIP文件也包含隐藏的快速加载AutoLISP (.fas)模块。
这些.fas模块相当于AutoCAD设计软件的脚本组件,类似于Word文件的宏。不同之处在于,FAS模块使用Lisp编程语言编写脚本,而不是使用VisualBasic或PowerShell,后者是与宏一起使用的首选脚本组件。
根据AutoCAD的安装设置,AutoCAD应用程序将在用户打开main.cad或任意.cad项目时自动执行这些.fas脚本模块。
AutoCAD软件的最新版本(2014年之后发布的版本)会在执行.fas模块时显示警告,但就像Office应用程序中的宏警告一样,有些人通常倾向于不考虑后果的略过所有安全警报,直奔内容而去。
分析进展
Forcepoint表示对此项行动的分析仍在持续跟进之中,
在过去的几个月中,我们已经跟踪并分析了大量(超过200个数据集和大约40个独特的恶意模块)的'acad.fas'版本,这些版本看起来像是基于一个小型下载器组件的扩展。
目前还不清楚余下的行动结果如何。研究人员观察到的恶意“aca .fas”模块会试图连接到远程命令控制(C&C)服务器,下载其他恶意软件,但还无法确定后续的恶意软件是什么。
研究人员表示:
目前尚不清楚,服务器端进行了额外检查,是为了方便针对特定受害者,还是仅仅是目前行动‘不活跃’状态下的产物。
Forcepoint表示,这个行动背后的团体似乎是一个基于AutoCAD恶意软件的狂热分子,因为C&C服务器的IP地址在以前的AutoCAD恶意软件活动中使用过。
此外,研究人员表示,这台C&C服务器正在运行的似乎是Microsoft Internet Information Server 6.0的中文版本,并且邻近的IP地址上也有托管类似的服务,很可能是一个更大的攻击设备的一部分。
如何自保
Forcepoint建议所有AutoCAD用户查看Autodesk的AutoCAD安全建议页面,了解如何防止恶意模块进行安全配置的技巧。该页面包括了如何限制AutoCAD执行FAS和其他脚本模块的能力的步骤,还有一些其他建议,比如如何在受到恶意代码攻击后恢复和清理AutoCAD安装。
此外,Forcepoint还警告称,黑客组织可能还会通过含有AutoCAD恶意文件的CD/DVD或USB驱动器的邮包发送一些恶意软件。
虽然有些人可能会认为此次行动对自身影响不大,但实际上这在许多设计和工程公司中都很常见,主要是因为一些用于存储零件或建筑结构的渲染的AutoCAD文件,可以很容易的达到1GB以上大小,许多公司担心在线暴露专有设计,而是依靠courrier服务来交换他们的一些文件。
当然,这也不是网络犯罪分子第一次使用基于AutoCAD的恶意软件来感染公司了,之前的记录分别是在2009年和2012年。