黑客通过3ds Max漏洞攻击一家公司

8月26日晚间消息：一个高级的出租黑客组织已经破坏了一家建筑公司的计算机，这些公司参与了价值数十亿美元的豪华房地产项目。该组织进行间谍活动，攻击媒介是Autodesk 3ds Max软件的恶意插件，用于创建专业3D计算机图形。

选择目标

跳过广告根据Bitdefender的调查，这名无名受害者是一家与美国，英国，澳大利亚和阿曼的豪华房地产开发商合作的重要公司，该公司与顶级建筑师和室内设计师签订服务合同。

对于此操作，威胁行动者依赖于韩国的命令与控制(C2)基础结构，该基础结构记录了来自多个国家(美国，韩国，日本，南非)的恶意软件样本的流量，并建议了这些地区中的特定受害者。

安全研究人员发现的证据指向一个小组，该小组为寻求内部财务细节和有关高价值合同的谈判的各种客户提供复杂的黑客服务。

“攻击的复杂性揭示了一个具有APT风格的小组，该小组具有对该公司的安全系统和使用过的软件应用程序的先验知识，精心计划了其攻击，以渗透到该公司并泄漏未检测到的数据”-Bitdefender

小心操作

在这种情况下，攻击媒介是一个影响多个Autodesk 3ds Max版本的漏洞，该漏洞允许在Windows系统上执行代码。

本月初，Autodesk警告说，存在以称为“ PhysXPluginMfx”的恶意插件的形式存在的MAXScript脚本实用程序的利用程序。在3ds Max中加载时，该插件可以感染其他MAX文件，从而传播到网络上的其他用户。

与寻求立即获利的网络犯罪组织不同，该威胁行为者使用恶意软件来收集有关受感染主机的详细信息(计算机名称，用户名)并窃取敏感信息。

除了使用可截取屏幕快照并从Google Chrome浏览器中提取密码和历史记录数据的工具外，演员还具有恶意软件，可窃取具有特定扩展名的文件。

Bitdefender研究人员估计，攻击者会为每个受害者编译此文件窃取组件，以包括他们要窃取的文件列表。

占地面积小

为了留在受感染机器上的雷达之下，行动者转向了一个有趣的把戏，如果任务管理器或性能监视器正在运行，则使恶意二进制文件处于休眠状态。

根据这两个应用程序可以看到的窗口区域的多少，设置了一个标志来指示恶意软件进入睡眠状态，从而减少CPU使用率并将其置于耗电较大的进程列表中。

同样，文件压缩仅用于某些文件。如果将数据存档，将引起不必要的注意，该操作将被跳过

Bitdefender今天的报告说，遥测数据显示，不到一个月前，类似的恶意软件样本与韩国的同一C2联系。

尽管这可能有助于将点与其他操作联系起来，但这绝不是小组活动时间表的开始。