APT黑客利用Autodesk 3ds Max软件进行工业间谍活动

APT集团为了达到自己的财务目标而进行网络间谍活动是一回事。但当它们被竞争对手的私人公司用作“雇佣黑客”以窃取机密信息时，情况就完全不同了。

Bitdefender的网络威胁情报实验室发现了另一起针对一家未具名的国际建筑和视频制作公司的间谍攻击事件，该公司具有精心策划的活动的所有特征。

Bitdefender的研究人员在今天发布的一份报告中说：“网络犯罪集团使用一个受污染的、精心制作的Autodesk 3ds Max插件潜入该公司。”。

“调查还发现，网络犯罪集团用来测试其针对该组织安全解决方案的恶意负载的指挥和控制基础设施位于韩国。”

尽管之前也有过类似于黑暗盆地和霸天虎（又名死亡跟踪者）这样的APT雇佣集团以金融和法律部门为目标的案例，但这是第一次威胁行为人对房地产行业采用相同的手法。

上个月，一场类似的运动—；名为Strong怜悯—；被发现使用受污染的软件安装程序作为滴管，为文件外泄引入后门。

这家网络安全公司表示：“这很可能成为APT集团商品化的新常态——不仅是国家赞助的参与者，而且是所有行业中为个人利益寻求服务的任何人。”。

使用受污染的Autodesk 3ds Max插件

在本月早些时候发布的一条建议中，Autodesk警告用户“PhysXPluginMfx”MAXScript漏洞的一种变体，该漏洞可在将受感染的文件加载到软件时破坏3ds Max的设置、运行恶意代码，并传播到Windows系统上的其他Max文件。


但根据Bitdefender的法医分析，这个粗略的MAXScript加密样本（“PhysXPluginStl.mse”）包含一个嵌入的DLL文件，该文件随后继续下载其他文件。C&；C服务器，最终目标是窃取重要文件。

这些二进制文件反过来负责下载其他恶意MAXScript，这些MAXScript能够收集有关受损机器的信息，并将详细信息过滤到远程服务器，远程服务器传输最终的有效负载，该负载可以捕获屏幕截图，并从Firefox、Google Chrome、，和Internet Explorer。

Bitdefender的研究人员除了利用睡眠机制隐藏在雷达之下并逃避检测之外，还发现恶意软件的作者有一整套用于监视其受害者的工具，包括一个“HdCrawler”二进制文件，其工作是枚举并将具有特定扩展名（.webp、.jpg、.png、.zip、.obb、.uasset等）的文件上载到服务器，以及具有广泛功能的信息窃取程序。

窃取者收集的信息包括用户名、计算机名、网络适配器的IP地址、Windows ProductName、应用程序的版本。NET Framework、处理器（内核数、速度和其他信息）、可用的总RAM和可用RAM、系统上运行的进程名称的存储详细信息、启动后自动启动的文件设置，以及最近访问的文件列表。

Bitdefender的遥测数据还发现其他类似的恶意软件样本与同一C&；C服务器，可追溯到不到一个月前，表明该组织的目标是其他受害者。

建议3ds Max用户下载最新版本的Autodesk 3ds Max 2021-2015SP1安全工具，以识别和删除PhysXPluginMfx MAXScript恶意软件。

研究人员说：“这次攻击的复杂性揭示了一个APT风格的组织，该组织事先了解该公司的安全系统，并使用软件应用程序，仔细策划了他们的攻击，以渗透到该公司并泄露未被发现的数据。”。

“工业间谍并不是什么新鲜事，由于房地产行业竞争激烈，合同价值高达数十亿美元，赢得奢侈品项目合同的风险很高，因此有理由求助于雇佣的APT集团以获得谈判优势。”