Nul
Eksempel på et projekt, der render fra en lokke pakke
Billede: Forcepoint
Sikkerhed forskere har opdaget en noget unikt malware distribution kampagne, der er målrettet virksomheder, der benytter AutoCAD-baseret malware.
Opdaget af cyber-sikkerhed firma Forcepoint, der delte sine resultater med ZDNet i går, kampagnen ser ud til at have været aktiv siden 2014, baseret på telemetri data virksomheden har analyseret.
Forcepoint siger gruppen bag dette seneste kampagne er mest sandsynligt meget sofistikeret og primært interesseret i industriel spionage, på grund af for sit fokus på at anvende en niche infektion vektor som AutoCAD, et meget dyrt stykke software, anvendes hovedsageligt af ingeniører og designere.
“De aktører, der har med succes målrettet flere virksomheder på tværs af flere geolocations med mindst én kampagne forventes at have været fokuseret på energi-sektor,” Forcepoint eksperter skrev i en rapport, at de planlægger at udgive senere i dag.
Forskerne sagde, at hacker-gruppen, der anvendes af spyd-phishing-e-mails, der indeholdt enten arkiver af ondsindede AutoCAD-filer eller links til hjemmesider, hvor ofre kan hente ZIP-filer, selv, i tilfælde af at “lokke” filer, der kræves for at være større end standard e-mail-servere’ vedhæftet fil grænser.
Forcepoint sagde dette spyd-phishing-kampagne, der anvendes “allerede-stjålet design dokumenter til større projekter såsom hoteller, fabriksbygninger, og selv den Hong Kong-Zhuhai-Macau-broen, som “lokker til” at udbrede sig yderligere.”
Hackere gearede AutoCAD ‘ s scripting funktion
Selskabet sagde, at ofre normalt blive smittet, fordi de ZIP-filer med AutoCAD (.cad) projekter, som de modtager også indeholde skjulte Hurtigt-Belastning AutoLISP (.fas) moduler.
I disse .fas moduler svarer til scripting komponenter til AutoCAD design software, som er beslægtet med, hvordan makroer, der er for Word-filer. Forskellen er, at FAS moduler bruge Lisp programmering sprog til sit script, i stedet for at VisualBasic eller PowerShell, den foretrukne script komponent, der anvendes med makroer.
Baseret på ofrets AutoCAD installation indstillinger, AutoCAD app vil enten automatisk at udføre disse .fas scripting moduler, når brugeren åbner den vigtigste .cad-projekt, eller når brugeren åbner en .cad-projekt.
De seneste versioner af AutoCAD (version frigivet efter 2014) viser advarsler, når der udføres en .fas-modul, men ligesom med makro advarsler i Office-apps, nogle som regel en tendens til at pløje gennem alle sikkerhedsadvarsler uden at tænke på konsekvenserne og til at åbne og se de vigtigste fil indhold så hurtigt som muligt.
Igangværende kampagne, der stadig er under analyse
“Vi har sporet og analyseret et stort antal (over 200 datasæt og omkring 40 unikke ondsindede moduler) af ‘acad.fas’ versioner i de sidste par måneder, fra hvad der ligner en længere kampagne, der er baseret omkring en lille downloader komponent,” Forcepoint sagde.
Det er i øjeblikket uklart, hvor resten af handlingen udspiller sig. Forskere siger, at den ondsindede “acad.fas” moduler, de har observeret ville forsøge at oprette forbindelse til en ekstern kommando-og-kontrol (C&C) server for at downloade anden malware, men de har ikke været i stand til at bestemme, hvad denne efterfølgende malware var.
“Det er uklart, om dette var en følge af yderligere server-side kontrol at gøre det lettere at målrette specifikke ofre, eller hvis det blot er et artefakt af den kampagne, der i øjeblikket at være ‘inaktiv’,” siger forskerne.
De sagde, at den gruppe, der står bag denne kampagne ser ud til at være en ivrig bruger af AutoCAD-baseret malware, som C&C-server IP-adresse, der tidligere blev brugt i ældre AutoCAD malware kampagner.
Hertil kommer, at forskere, der sagde, at C&C server syntes at være at køre en Kinesisk sprog installationen af Microsoft Internet Information Server 6.0, og at en nærliggende IP-adresse, der var vært for en lignende tjeneste, sandsynligvis en del af et større angreb infrastruktur.
Brugere kan beskytte sig selv
Forcepoint anbefaler, at alle de AutoCAD brugere, der tager et kig over Autodesk AutoCAD sikkerhed anbefalinger side med tips om sikker konfiguration af AutoCAD til at beskytte mod ondsindede moduler.
Den side indeholder trin for at begrænse AutoCAD ‘ s evne til at udføre FAS og andre script-moduler, men også andre råd, såsom hvordan man kan komme og rense en AutoCAD-installation efter angreb med skadelig kode.
Desuden Forcepoint advarer også om, at hacker-gruppen kan også ty til at sende nogle af deres malware via postpakker med CD/DVD eller USB-drev, der indeholder skadelig AutoCAD-filer.
Mens nogle måske se dette som ulige eller urealistisk, det er faktisk en temmelig almindelig praksis blandt mange design-og ingeniørfirmaer i dag, primært fordi nogle AutoCAD-filer –der anvendes til lagring og gengivelse af dele eller bygge strukturer– kan nemt nå op på mere end 1 GB i størrelse, og mange virksomheder frygter, at udsætte proprietære designs online, og i stedet stole på e-mail service til at bytte nogle af deres filer.
Det er heller ikke første gang, at it-kriminelle har brugt AutoCAD-baseret malware at inficere virksomheder. Tidligere kampagner er blevet dokumenteret i 2009 og 2012 hhv.
Mere sikkerhed dækning:
Ukrainsk politi anholdt hacker, der har inficeret mere end 2.000 brugere med DarkComet ROTTEByen Valdez i Alaska indrømmer at betale af ransomware infektionMagecart gruppe afsindigt saboterer konkurrentAtlanta ransomware angreb hit ‘mission critical’ systemer CNETFBI demonterer gigantisk ad bedrageri, der opererer på tværs over en million IPsEmotet malware kører på en dual-infrastruktur for at undgå nedetid og takedownsTo softphone apps forceinstalled rodcertifikater så lækkede den private nøglerBanking trojanske heste, ikke ransomware, er den største trussel nu TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0