当前位置:新闻动态 \ 行业动态
研究发现新的工业间谍活动,旨在利用AutoCAD窃取机密文件
新闻来源:黑客视界
发布人:计算机安全协会
点击率:56
发布日期:2018.12.03

1.jpg

据外媒ZDNet报道,有安全专家在最近发现了一起非常独特的恶意软件分发活动,其目标是那些在设计工作中使用AutoCAD软件的公司。

报道称,这起活动是由来自网络安全公司Forcepoint的安全专家发现的,该公司在本周早些时候向ZDNet分享了这一调查结果。从该公司提供的遥测数据来看,这起活动似乎开始于2014年,并一直活跃至今。

Forcepoint的安全专家表示,这起活动背后的黑客组织有可能非常复杂。可以确定的是他们主要对工业间谍活动感兴趣,这是因为其主要感染媒介就是AutoCAD。这是一种具有潜在高价值的软件,主要使用群体是工程师和设计师。

Forcepoint公司在其分析报告中写道:“大多数的受感染设备都位于中国、印度、土耳其和阿联酋。对C2域名的调查表明,攻击者已经成功感染了多个地区的多家公司,其中至少有一起活动可能专注于能源行业,另一个主要受影响的就是汽车行业。其次,受害者中也包含一个建筑公司,以及国家道路维护当局。”

2.jpg

研究人员表示,整个攻击从鱼叉式网络钓鱼电子邮件开始,这些电子邮件要么包含内嵌恶意AutoCAD文件压缩文件(ZIP文件)附件,要么包含指向用于下载ZIP文件的恶意网站链接(防止诱饵文件的大小超出标准电子邮件服务器的文件附件大小限制。)

Forcepoint的安全专家表示,鱼叉式网络钓鱼活动使用了明显已经被盗的设计图纸来作为“诱饵”,这些图纸均来自一些重大项目,如酒店、工厂建筑、甚至是港珠澳大桥(于上个月正式通车)。攻击者目的可能是为了获得更多的设计文件,要么是用于窃取知识产权,要么是通过暗网黑市出售以获取非法收益。

攻击者利用了AutoCAD的脚本自动加载功能

3.jpg

安全专家表示,用户之所以会受到感染,是因为他们所收到的带有AutoCAD(.cad)项目的ZIP文件也包含隐藏的Fast-Load AutoLISP(.fas)模块。

这些.fas模块相当于AutoCAD软件的脚本组件,类似于Word文件的宏。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而不是使用VisualBasic或PowerShell(宏使用的首选脚本组件)。

AutoCAD软件会根据受害者的AutoCAD安装设置,在用户打开主.cad项目或任意.cad项目时自动执行这些.fas脚本模块。虽然AutoCAD软件的最新版本(2014年后发布的版本)会在执行.fas模块时弹出警告,就像Office应用程序中的宏警告一样,但大多数人通常都倾向于忽视安全警告,以尽快打开和查看主文件内容。

Forcepoint对这起活动进行了持续性的分析

“在过去的几个月里,我们跟踪并分析了大量的‘acad.fas’版本(300多个压缩文件包含了大约100多个独特的恶意模块),这看起来像是基于小型下载程序组件的扩展活动。”Forcepoint在其分析报告中写道。

安全专家表示,他们所发现的这些恶意“acad.fas”模块可能会尝试连接到C&C服务器,以下载其它的恶意软件,但是目前并不能够确定下一阶段的恶意软件会是什么。

他们还表示,这起活动背后的黑客组织似乎主要针对的就是使用AutoCAD软件的用户,因为相同的C&C服务器IP地址在更早AutoCAD恶意软件活动中就已经被使用过。

AutoCAD用户如何来保护自己

Forcepoint建议所有AutoCAD用户请务必查看Autodesk的AutoCAD安全建议页面,以获取有关如何对AutoCAD进行安全配置,从而防范恶意模块的提示。

这个页面包含如何限制AutoCAD执行FAS和其它脚本模块配置步骤,以及其他的一些建议。比如,当受到恶意代码攻击时,如何恢复和清理AutoCAD安装。

此外,Forcepoint还警告说,该黑客组织也可能会通过包含恶意AutoCAD文件的CD/DVD或U盘的邮政包裹来传播恶意软件。虽然这种攻击方式对于许多人来说并不常见,但对于设计和工程公司来说是适用的。这主要是因为一些AutoCAD文件大小(如用于存储零件或建筑结构的渲染)很容易就达到1GB以上,通过电子邮件来发送会非常不方便,再加上许多公司会担心通过网络传输会暴露他们的专有设计,他们通常都会选择通过邮寄服务来发送他们文件。

最后需要指出的是,这并不非网络犯罪分子首次使用AutoCAD恶意软件来攻击某些特定行业的公司,早在2009年和2012年均发生过类似的事件。

 

 

上一篇:推动无服务器安全:AWS开源轻量级虚拟化技术
下一篇:黑掉App就能偷汽车吗?
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com