研究人员警告称,工业间谍活动组织通过基于AutoCAD的恶意软件来攻击能源领域的公司。

安全研究人员发现,使用基于AutoCAD恶意软件的公司将会受到此次恶意软件分发活动的影响。

网络安全公司Forcepoint发现了这一问题,并于昨天向ZDNet分享了这一调查结果。根据该公司分析的遥测数据,这个活动似乎自2014年以来就一直活跃。

Forcepoint表示,最近该活动背后的组织有可能非常复杂,他们主要对工业间谍活动感兴趣,也由于这些公司过于专注使用像AutoCAD这样的感染媒介。(AutoCAD是一种非常昂贵的软件,主要使用群体为工程师和设计师。)

Forcepoint专家在预计于今天晚些时候发布的报告中写道:“这些参与者成功地攻击了多个地理位置的多家公司,其中至少有一个活动可能专注于能源行业。”

研究人员表示,这个黑客组织使用了鱼叉式网络钓鱼邮件,这些邮件中包含了恶意AutoCAD文件存档或者受害者可以自行下载ZIP文件的网站链接,防止“钓鱼”文件大小超过了标准邮件服务器的文件附件大小限制。

Forcepoint表示这个鱼叉式网络钓鱼活动“将已经被窃取的重大项目的设计文件(如酒店、工厂建筑、甚至是港珠澳大桥)作为‘诱饵’以进一步传播。”

黑客利用AutoCAD的脚本功能

该公司表示用户通常会受到感染,因为他们收到的带有AutoCAD(.cad)项目的ZIP文件也包含隐藏的Fast-Load AutoLISP(.fas)模块。

这些.fas模块相当于AutoCAD设计软件的脚本组件,类似于Word文件的宏。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而不是使用VisualBasic或PowerShell(宏使用的首选脚本组件)。

AutoCAD应用程序会根据受害者的AutoCAD安装设置,在用户打开主.cad项目时或用户打开任何.cad项目时自动执行这些.fas脚本模块。

AutoCAD软件的最新版本(2014年后发布的版本)会在执行.fas模块时弹出警告,就像Office应用程序中的宏警告一样,有些人通常倾向于浏览所有的安全警告,而不考虑后果,并尽快打开和查看主文件内容。

对活动持续分析

“在过去的几个月中,我们已经分析了大量的‘acad.fas’版本(超过200个数据集和大约40个单独的恶意模块),这看起来像是基于小型下载程序组件的扩展活动。”Forcepoint说道。

当前,我们不知道以后还会发生什么。研究人员表示,他们所发现的这些恶意“acad.fas”模块可能会尝试连接到远程C&C(远程命令和控制)服务器,以下载其它的恶意软件,但是他们并不能够确定后续的恶意软件是什么。

研究人员表示:“目前尚不清楚这是否是为了针对特定受害者而进行额外的服务器端检查。”

他们还表示,此活动背后的团队似乎是热衷于基于AutoCAD的恶意软件的用户,因为此前C&C服务器的IP地址能够用于较老版本的AutoCAD恶意软件活动。

此外,研究人员表示,C&C服务器似乎正在运行Microsoft Internet Information Server 6.0的中文安装包,并且邻近的IP地址正在托管类似的服务,这很可能是大型攻击基础设施的一部分。

用户可以自我保护

Forcepoint建议所有的AutoCAD用户查看Autodesk的AutoCAD安全建议页面,以获取有关安全配置AutoCAD以防范恶意模块的提示。

这个页面包括限制AutoCAD执行FAS和其它脚本模块的功能,还包括其它的建议,如当收到恶意代码攻击的时候,如何恢复和清理AutoCAD安装。

此外,Forcepoint还警告说,黑客组织也可能会通过包含恶意AutoCAD文件的CD / DVD或U盘的邮政包裹来传播一些恶意软件。

虽然有些人可能认为这很奇怪或不切实际,但事实上,这在许多设计和工程公司中都很常见,主要是因为一些AutoCAD文件大小(如用于存储零件或建筑结构的渲染)很容易就达到1GB以上,许多公司担心会在网上暴露他们专有的设计,从而选择邮寄服务来交换他们的一些文件。

这也不是网络犯罪分子第一次使用基于AutoCAD的恶意软件来攻击公司,在2009年和2012年也都出现过类似的事件。

原文作者:Catalin Cimpanu

信息化和软件服务网 - 助力数字中国建设 | 责编:赵曜 左右