Industriale nuova campagna di spionaggio sfrutta AutoCAD-malware

0
92

Zero

autocad-malware-lure.png

Esempio di un progetto di rendering da un richiamo pacchetto

Immagine: Forcepoint

I ricercatori di sicurezza hanno individuato un qualcosa di unico la distribuzione di malware campagna che ha come target le aziende che utilizzano AutoCAD-malware.

Scoperto dai cyber-sicurezza ditta Forcepoint, che ha condiviso le sue scoperte con ZDNet ieri, la campagna sembra avere attivo dal 2014, basata su dati di telemetria, la società ha analizzato.

Forcepoint dice che il gruppo dietro a questa recente campagna è probabilmente molto sofisticato e soprattutto interessati in attività di spionaggio industriale, a causa anche il suo focus sull’utilizzo di una nicchia di vettore d’infezione, come AutoCAD, un costoso pezzo di software, utilizzati prevalentemente da ingegneri e progettisti.

“Gli attori sono mirati con successo le aziende multiple su più posizioni geografiche con almeno una campagna probabile avere focalizzata sul settore dell’energia,” Forcepoint esperti, ha scritto in un report hanno in programma di pubblicare entro oggi.

I ricercatori hanno detto che il gruppo di hacker utilizzato spear-phishing email che contenevano archivi di dannoso file di AutoCAD o link a siti da cui le vittime non potevano scaricare il file ZIP stessi, nel caso in cui il “richiamo” file necessari per essere più grandi delle standard server e-mail’ file allegato limiti.

Forcepoint detto questo spear-phishing campagna ha utilizzato “già rubato i documenti di progettazione per i grandi progetti, quali alberghi, capannoni, e anche Hong Kong-Zhuhai-Macao bridge come “esche” per propagare ulteriormente.”

Gli hacker leva di AutoCAD funzionalità di scripting

La società ha detto che le vittime di solito ottenere infettati, perché il file ZIP con AutoCAD (.cad) progetti che ricevono anche contenere nascosto il Caricamento Rapido di AutoLISP (.fas) moduli.

Questi .fas moduli sono l’equivalente dei componenti di script di AutoCAD, software di progettazione, simile a come le macro sono per i file di Word. La differenza è che FAS moduli di utilizzare il linguaggio di programmazione Lisp per i suoi script, invece di VisualBasic o PowerShell, il preferito di componente di scripting utilizzato con le macro.

Basato sulla vittima AutoCAD impostazioni di installazione, AutoCAD app automaticamente eseguire questi .fas di scripting moduli quando l’utente apre l’ .progetto cad, o quando l’utente apre qualsiasi .progetto cad.

Le versioni più recenti del software AutoCAD (versioni rilasciate dopo il 2014) vedi avvertenze durante l’esecuzione di un .fas modulo, ma proprio come con gli avvisi macro in Office apps, alcuni di solito tendono a solcare tutti gli avvisi di sicurezza, senza pensare alle conseguenze e per aprire e visualizzare il principale contenuto del file il più presto possibile.

Campagna in corso, ancora sotto analisi

“Abbiamo monitorato e analizzato un gran numero (oltre 200 insiemi di dati e di circa 40 unico dannoso moduli) ‘acad.fas versioni negli ultimi mesi, da quello che appare come un’estesa campagna intorno a un piccolo componente downloader,” Forcepoint detto.

Attualmente, non è chiaro come il resto dell’operazione si svolge. I ricercatori dicono che il maligno “acad.fas” moduli sono osservati tenta di connettersi a un server remoto di comando e controllo (C&C) server per scaricare altri malware, ma non sono stati in grado di determinare che cosa il nuovo malware è stato.

“Non è chiaro se questo è stato un risultato di server aggiuntivi controlli lato per facilitare il targeting di specifici vittime o se si tratta semplicemente di un manufatto di campagna attualmente in fase di “inattivi”,” i ricercatori hanno detto.

Ha detto che il gruppo dietro questa campagna sembra essere un appassionato utente di AutoCAD base di malware, come C&C server con indirizzo IP è stato precedentemente utilizzato in precedenti di AutoCAD campagne di malware.

Inoltre, i ricercatori hanno detto che il server C&C sembrava essere l’esecuzione di lingua Cinese di installazione di Microsoft Internet Information Server 6.0, e che una vicina di indirizzo IP è stato hosting un servizio simile, probabilmente parte di un più ampio attacco infrastrutture.

Gli utenti possono proteggere se stessi

Forcepoint consiglia a tutti gli utenti di AutoCAD date un’occhiata su AutoCAD di Autodesk consigli di sicurezza pagina per suggerimenti sul sicuro configurazione di AutoCAD per proteggere contro i pericolosi moduli.

La pagina include i passaggi sulla limitazione di AutoCAD capacità di esecuzione FAS e altri script moduli, ma anche altri consigli come come ripristinare e pulire un installazione AutoCAD dopo gli attacchi di codice dannoso.

Inoltre, Forcepoint avverte inoltre che il gruppo di hacker potrebbe anche ricorrere all’invio di alcuni di loro malware tramite pacchi postali con lettore CD/DVD o unità USB contenente il dannoso file di AutoCAD.

Mentre alcuni potrebbero vedere questo strano o irrealistico, questo è in realtà una bella pratica comune tra molti studi di progettazione e al giorno d’oggi, soprattutto perché alcuni file di AutoCAD –utilizzato per la memorizzazione di rendering delle parti o la costruzione di strutture-può facilmente raggiungere più di 1 gb di dimensione, e molte aziende paura di esporre il proprietario disegni online, e invece contare su courrier servizi da scambiare con alcuni dei loro file.

Anche questo non è la prima volta che i cyber-criminali hanno utilizzato AutoCAD base di malware per infettare le aziende. Precedenti campagne, sono stati documentati nel 2009 e 2012, rispettivamente.

Più copertura di sicurezza:

La polizia ucraina arresto di hacker che ha infettato più di 2.000 utenti con DarkComet RATCittà di Valdez, in Alaska, ammette a pagare infezione ransomwareMagecart gruppo esilarante sabotaggi concorrenteAtlanta ransomware attacco hit ‘mission critical’ sistemi di CNETFBI smantella gigantesco annuncio schema di frode che operano su più di un milione di IPsEmotet malware viene eseguito su un processore dual infrastruttura per evitare tempi di inattività e chiusureDue applicazioni softphone forceinstalled certificati root poi trapelate le chiavi privateBanking trojan, non ransomware, sono la più grande minaccia ora TechRepublic

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0