利用基於AutoCAD惡意軟體的工業間諜活動
近日,網路安全公司Forcepoint的研究人員發現了一種特殊的惡意軟體分發行動,其目標是使用基於AutoCAD的惡意軟體的公司。根據該公司遙測資料顯示,自2014年以來,此項行動似乎一直處於活躍狀態。
Forcepoint表示,最近發現了一起行動,並且發起該活動的組織很可能非常老練,他們的主要動機在工業間諜活動上。Forcepoint調查後發現該組織專注於使用像AutoCAD這樣的利基感染載體,而AutoCAD是一款非常昂貴的軟體,主要由工程師和設計師使用。
Forcepoint的專家在一份即將發表的調查報告中寫道:
這些威脅行為者成功瞄準了多個地理位置的多家公司,其中至少有一家企業屬於能源行業。
研究人員表示,黑客組織使用魚叉式網路釣魚電子郵件,這些郵件要麼含有惡意AutoCAD檔案的檔案,要麼含有指向受害者可以自行下載ZIP檔案的網站的連結,以防“誘餌”檔案需要超過標準電子郵件伺服器的檔案附件限制。這種“魚叉式”釣魚活動利用酒店、廠房、甚至港珠澳大橋等重大專案的已被盜的設計檔案,作為進一步傳播的誘餌。
威脅源頭——AUTOCAD的指令碼功能
Forcepoint表示,受害者有很大的概率會被感染,因為他們收到的帶有AutoCAD (.cad)專案的ZIP檔案也包含隱藏的快速載入AutoLISP (.fas)模組。
這些.fas模組相當於AutoCAD設計軟體的指令碼元件,類似於Word檔案的巨集。不同之處在於,FAS模組使用Lisp程式語言編寫指令碼,而不是使用VisualBasic或Shell/">PowerShell,後者是與巨集一起使用的首選指令碼元件。
根據AutoCAD的安裝設定,AutoCAD應用程式將在使用者開啟main.cad或任意.cad專案時自動執行這些.fas指令碼模組。
AutoCAD軟體的最新版本(2014年之後釋出的版本)會在執行.fas模組時顯示警告,但就像Office應用程式中的巨集警告一樣,有些人通常傾向於不考慮後果的略過所有安全警報,直奔內容而去。
分析進展
Forcepoint表示對此項行動的分析仍在持續跟進之中,
在過去的幾個月中,我們已經跟蹤並分析了大量(超過200個數據集和大約40個獨特的惡意模組)的'acad.fas'版本,這些版本看起來像是基於一個小型下載器元件的擴充套件。
目前還不清楚餘下的行動結果如何。研究人員觀察到的惡意“aca .fas”模組會試圖連線到遠端命令控制(C&C)伺服器,下載其他惡意軟體,但還無法確定後續的惡意軟體是什麼。
研究人員表示:
目前尚不清楚,伺服器端進行了額外檢查,是為了方便針對特定受害者,還是僅僅是目前行動‘不活躍’狀態下的產物。
Forcepoint表示,這個行動背後的團體似乎是一個基於AutoCAD惡意軟體的狂熱分子,因為C&C伺服器的IP地址在以前的AutoCAD惡意軟體活動中使用過。
此外,研究人員表示,這臺C&C伺服器正在執行的似乎是Microsoft Internet Information Server 6.0的中文版本,並且鄰近的IP地址上也有託管類似的服務,很可能是一個更大的攻擊裝置的一部分。
如何自保
Forcepoint建議所有AutoCAD使用者檢視Autodesk的AutoCAD安全建議頁面,瞭解如何防止惡意模組進行安全配置的技巧。該頁面包括瞭如何限制AutoCAD執行FAS和其他指令碼模組的能力的步驟,還有一些其他建議,比如如何在受到惡意程式碼攻擊後恢復和清理AutoCAD安裝。
此外,Forcepoint還警告稱,黑客組織可能還會通過含有AutoCAD惡意檔案的CD/DVD或USB驅動器的郵包傳送一些惡意軟體。
雖然有些人可能會認為此次行動對自身影響不大,但實際上這在許多設計和工程公司中都很常見,主要是因為一些用於儲存零件或建築結構的渲染的AutoCAD檔案,可以很容易的達到1GB以上大小,許多公司擔心線上暴露專有設計,而是依靠courrier服務來交換他們的一些檔案。
當然,這也不是網路犯罪分子第一次使用基於AutoCAD的惡意軟體來感染公司了,之前的記錄分別是在2009年和2012年。