Các nhóm APT có thể thực hiện gián điệp mạng để đáp ứng các mục tiêu tài chính của riêng họ. Nhưng lại là một vấn đề hoàn toàn khác khi chúng bị các công ty tư nhân cạnh tranh sử dụng làm “tin tặc cho thuê” để loại bỏ thông tin bí mật.
Phòng thí nghiệm Tình báo Đe dọa Mạng của Bitdefender đã phát hiện ra một trường hợp khác của một cuộc tấn công gián điệp nhắm mục tiêu vào một công ty sản xuất video và kiến trúc quốc tế giấu tên có tất cả các dấu hiệu của một chiến dịch được dàn dựng cẩn thận.
Các nhà nghiên cứu của Bitdefender cho biết: “Nhóm tội phạm mạng đã xâm nhập vào công ty bằng cách sử dụng một plugin bị nhiễm độc và được chế tạo đặc biệt cho Autodesk 3ds Max” báo cáo được phát hành hôm nay.
“Cuộc điều tra cũng cho thấy rằng cơ sở hạ tầng Chỉ huy và Kiểm soát được nhóm tội phạm mạng sử dụng để kiểm tra tải trọng độc hại của chúng chống lại giải pháp bảo mật của tổ chức, được đặt tại Hàn Quốc.”
Mặc dù đã có những trường hợp trước đây của các nhóm lính đánh thuê APT như Lưu vực tối và Deceptikons (hay còn gọi là DeathStalker) nhắm mục tiêu vào lĩnh vực tài chính và pháp lý, đây là lần đầu tiên một kẻ đe dọa sử dụng phương thức hoạt động tương tự cho ngành bất động sản.
Tháng trước, một chiến dịch tương tự – được gọi là StrongPity – được phát hiện bằng cách sử dụng các trình cài đặt phần mềm bị nhiễm bẩn như một ống nhỏ giọt để giới thiệu một cửa sau để lọc tài liệu.
Công ty an ninh mạng cho biết: “Điều này có thể sẽ trở thành bình thường mới về mặt hàng hóa của các nhóm APT – không chỉ các tổ chức được nhà nước bảo trợ, mà còn bởi bất kỳ ai tìm kiếm dịch vụ của họ vì lợi ích cá nhân, trong tất cả các ngành công nghiệp”.
Sử dụng Plugin Autodesk 3ds Max bị nhiễm bẩn
Trong một lời khuyên được phát hành Đầu tháng này, Autodesk đã cảnh báo người dùng về một biến thể của khai thác MAXScript “PhysXPluginMfx” có thể làm hỏng cài đặt của 3ds Max, chạy mã độc hại và lây lan sang các tệp MAX khác trên hệ thống Windows khi tải các tệp bị nhiễm vào phần mềm.
Nhưng theo phân tích pháp y của Bitdefender, mẫu mã hóa MAXScript sơ sài này (“PhysXPluginStl.mse”) chứa một tệp DLL nhúng, sau đó tiếp tục tải xuống các tệp nhị phân .NET bổ sung từ máy chủ C&C với mục đích cuối cùng là lấy cắp các tài liệu quan trọng.
Đổi lại, các tệp nhị phân chịu trách nhiệm tải xuống các MAXScripts độc hại khác có khả năng thu thập thông tin về máy bị xâm nhập và lấy thông tin chi tiết đến máy chủ từ xa, máy chủ này sẽ truyền tải trọng cuối cùng có thể chụp ảnh chụp màn hình và thu thập mật khẩu từ các trình duyệt web như Firefox, Google Chrome và Internet Explorer.
Ngoài việc sử dụng cơ chế ngủ để nằm dưới radar và tránh bị phát hiện, các nhà nghiên cứu của Bitdefender cũng phát hiện ra rằng các tác giả phần mềm độc hại có toàn bộ bộ công cụ để theo dõi nạn nhân của nó, bao gồm cả tệp nhị phân “HdCrawler”, có công việc là liệt kê và tải lên các tệp cụ thể các phần mở rộng (.webp, .jpg, .png, .zip, .obb, .uasset, v.v.) cho máy chủ và trình đánh cắp thông tin với các tính năng mở rộng.
Thông tin thu thập được bởi kẻ trộm bao gồm tên người dùng, tên máy tính, địa chỉ IP của bộ điều hợp mạng, Windows Tên sản phẩm, phiên bản .NET Framework, bộ xử lý (số lõi, tốc độ và các thông tin khác), tổng bộ nhớ RAM còn trống và dung lượng trống, chi tiết lưu trữ đến tên của các quy trình đang chạy trên hệ thống, các tệp được đặt để bắt đầu tự động sau khi khởi động, và danh sách các tệp được truy cập gần đây.
Dữ liệu đo từ xa của Bitdefender cũng tìm thấy các mẫu phần mềm độc hại tương tự khác giao tiếp với cùng một máy chủ C&C, có từ cách đây chỉ chưa đầy một tháng, cho thấy nhóm này nhắm mục tiêu vào các nạn nhân khác.
Người dùng 3ds Max được khuyến nghị tải xuống phiên bản mới nhất của Công cụ bảo mật cho Autodesk 3ds Max 2021-2015SP1 để xác định và loại bỏ phần mềm độc hại PhysXPluginMfx MAXScript.
Các nhà nghiên cứu cho biết: “Sự tinh vi của cuộc tấn công cho thấy một nhóm theo kiểu APT đã có kiến thức trước về hệ thống bảo mật của công ty và sử dụng các ứng dụng phần mềm, lên kế hoạch cẩn thận cho cuộc tấn công của họ để xâm nhập công ty và lấy cắp dữ liệu mà không bị phát hiện”.
“Gián điệp công nghiệp không có gì mới và vì ngành bất động sản có tính cạnh tranh cao, với các hợp đồng trị giá hàng tỷ đô la, cổ phần rất cao để giành được hợp đồng cho các dự án sang trọng và có thể biện minh cho việc chuyển sang các nhóm APT đánh thuê để đạt được lợi thế đàm phán. “
