Nul
Een voorbeeld van een project renderen van een lokmiddel pakket
Afbeelding: Forcepoint
Beveiligingsonderzoekers hebben gespot een enigszins uniek distributie van malware campagne gericht op bedrijven met behulp van AutoCAD gebaseerde malware.
Ontdekt door cyber-security bedrijf Forcepoint, die deelde haar bevindingen met ZDNet gisteren de campagne lijkt te zijn actief sinds 2014, op basis van telemetrie gegevens van het bedrijf heeft geanalyseerd.
Forcepoint zegt de groep achter deze recente campagne is het meest waarschijnlijk zeer geavanceerd en vooral geïnteresseerd in de industriële spionage, door ook de focus op het gebruik van een niche-infectie vector zoals AutoCAD, een heel duur stukje software, voornamelijk gebruikt door ingenieurs en ontwerpers.
“De acteurs hebben met succes gerichte meerdere bedrijven over meerdere geolocaties met ten minste één campagne waarschijnlijk na zijn gericht op de energie-sector,” Forcepoint deskundigen schreef in een rapport van plan ze te publiceren later op de dag.
Onderzoekers zeiden dat de hacker groep gebruikt spear-phishing e-mails die beide archieven van schadelijke AutoCAD bestanden of links naar websites waar slachtoffers kon download het ZIP-bestanden zelf, in het geval het “lokken” van bestanden die nodig zijn groter dan de standaard e-mail-servers’ bijlage grenzen.
Forcepoint zei dit spear-phishing-campagne gebruikt “al-gestolen documenten ontwerpen voor grote projecten zoals hotels, fabrieksgebouwen, en zelfs de Hong Kong-Macau-Macau brug als ‘lokt’ te propageren verder.”
Hackers leveraged AutoCAD scripting functie
Het bedrijf zei dat de slachtoffers meestal geïnfecteerd raken omdat de ZIP-bestanden met AutoCAD (.cad -) projecten die ze ontvangen ook bevatten verborgen Snel Laden AutoLISP (.fas) modules.
Deze .fas modules zijn het equivalent van scripting onderdelen voor de AutoCAD design software, vergelijkbaar met hoe macro ‘ s voor Word-bestanden. Het verschil is dat de FAS-modules gebruik maken van de programmeertaal Lisp voor zijn script, in plaats van VisualBasic of PowerShell, de voorkeur scripting component gebruikt met macro ‘ s.
Gebaseerd op het slachtoffer AutoCAD installatie-instellingen, de AutoCAD app zal automatisch uitvoeren van deze .fas scripting modules wanneer de gebruiker de belangrijkste .cad project, of wanneer de gebruiker geen .cad project.
Recente versies van AutoCAD-software (versies die zijn uitgebracht na 2014) toon waarschuwingen bij het uitvoeren van een .fas-module, maar net als met de macro waarschuwingen in de Office-apps, wat meestal de neiging hebben om te ploegen door alle veiligheidswaarschuwingen zonder na te denken van de gevolgen en het openen en weergeven van de belangrijkste bestand content zo spoedig mogelijk.
Lopende campagne nog steeds onder de analyse
“We hebben bijgehouden en geanalyseerd van een groot aantal (meer dan 200 data sets en ongeveer 40 unieke kwaadaardige modules) van ‘acad.fas’ versies in de afgelopen maanden, van wat lijkt op een uitgebreide campagne rond een kleine downloader component,” Forcepoint zei.
Momenteel is het onduidelijk hoe de rest van de operatie speelt. Onderzoekers zeggen dat de kwaadaardige “acad.fas” modules die ze hebben waargenomen zou proberen om verbinding te maken met een remote command-and-control (C&C) server om andere malware te downloaden, maar zijn ze niet in staat om te bepalen wat deze latere malware was.
“Het is onduidelijk of dit een gevolg was van de extra server-side controles te vergemakkelijken en de gerichtheid van de specifieke slachtoffers of als het is slechts een artefact van de campagne momenteel “inactief”,” de onderzoekers gezegd.
Ze zei dat de groep achter deze campagne blijkt een fervent gebruiker van AutoCAD gebaseerde malware, zoals de C&C-server het IP-adres is al eerder gebruikt in oudere AutoCAD malware campagnes.
Bovendien, onderzoekers zeiden dat de C&C-server bleek het runnen van een Chinese-taal-installatie van Microsoft Internet Information Server 6.0, en dat een naburige IP-adres is het hosten van een soortgelijke dienst, waarschijnlijk een onderdeel van een grotere aanval infrastructuur.
Gebruikers kunnen zichzelf beschermen
Forcepoint beveelt aan dat alle AutoCAD gebruikers, neem een kijkje op Autodesk ‘ s AutoCAD aanbevelingen pagina voor tips over het veilig configureren van AutoCAD te beschermen tegen kwaadaardige modules.
De pagina bevat stappen op het beperken van AutoCAD is mogelijkheid tot het uitvoeren van FAS en andere scripting modules, maar ook andere tips, zoals hoe om te herstellen en reinigen van een AutoCAD-installatie na aanvallen met schadelijke code.
Bovendien Forcepoint waarschuwt ook dat de hacker groep, kunnen ook hun toevlucht nemen tot het sturen van een aantal van hun malware via postpakketten met CD/DVD of USB-flashstations met de kwaadaardige AutoCAD-bestanden.
Terwijl sommige kunnen bekijken dit als vreemd en onrealistisch, dit is eigenlijk een vrij gangbare praktijk onder de vele ontwerp-en ingenieursbureaus tegenwoordig, vooral omdat sommige AutoCAD-bestanden gebruikt voor het opslaan van weergave van onderdelen of constructies– kan gemakkelijk oplopen tot meer dan 1 gb in grootte, en veel bedrijven hebben schrik voor het blootstellen van gepatenteerde ontwerpen online, en in plaats daarvan vertrouwen op e-mail diensten uitwisselen van hun bestanden.
Dit is ook niet de eerste keer dat cybercriminelen hebben gebruikt AutoCAD gebaseerde malware te infecteren bedrijven. Vorige campagnes zijn gedocumenteerd in 2009 en 2012, respectievelijk.
Meer zekerheid:
Oekraïense politie arresteert hacker die besmet zijn meer dan 2.000 gebruikers met DarkComet RATStad van Valdez, Alaska geeft toe dat het aflossen van ransomware infectieMagecart groep hilarisch saboteert concurrentAtlanta ransomware aanvallen op ‘mission critical’ systemen CNETFBI ontmantelt gigantische ad fraude regeling die over meer dan een miljoen IPsEmotet malware draait op een dual-infrastructuur te voorkomen, downtime en takedownsTwee softphone apps forceinstalled root certificaten vervolgens gelekt van de private sleutelsBanking trojans, niet ransomware, zijn de grootste bedreiging nu TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0