Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers APT usando plug-in de software malicioso do Autodesk 3ds Max para hackear sistemas de empresas de arquitetura

Recentemente, os hackers da APT exploraram uma vulnerabilidade no software convencional de computação gráfica 3D da Autodesk para iniciar um novo ataque de espionagem cibernética aos sistemas das empresas internacionais de arquitetura e criação de vídeo.

Os pesquisadores detectaram esta vulnerabilidade e afirmaram que um grupo de hackers desconhecido tinha como alvo empresas de todo o mundo, com malware escondido dentro de plug-ins maliciosos do 3Ds Max.

O grupo conduz operações de espionagem usando um plugin mal-intencionado para o Software Autodesk 3dsMax. Aqui, os grupos mercenários APT foram identificados para contribuir com a sua assistência ao licitante com lance mais alto, expandindo ataques sofisticados e ferramentas essenciais de ciberespionagem contra as vítimas-alvo.

Alvos

De acordo com relatórioos atores da ameaça sempre têm como alvo a empresa que trabalha com as incorporadoras imobiliárias e são de países como: –

  • NÓS
  • Reino Unido
  • Omã
  • Coreia do Sul
  • Japão
  • África do Sul

Principais conclusões

Os especialistas proferiram algumas descobertas importantes detectadas nesta vulnerabilidade, e aqui elas são mencionadas abaixo:-

  • O potencial grupo mercenário APT usado para ciberespionagem industrial.
  • Espionagem industrial para competitividade no empreendimento imobiliário.
  • Carga útil mal disposta fingindo ser um plugin para um moderno software de computação gráfica 3D
  • A carga que é testada em relação à explicação de segurança da empresa para evitar a divulgação na entrega.
  • Fundação C2 com sede na Coreia do Sul.

Hackers usando um plugin malicioso para o software Autodesk 3ds Max

A Autodesk notificou os usuários sobre a variante do exploit MAXScript “PhysXPluginMfx” que pode facilmente danificar as configurações do 3ds Max. Como ele pode executar código malicioso e entregar outros arquivos MAX em um Windows sistema ao colocar os arquivos infectados no software.

Nós recomendamos:  6 Melhor Grátis YouTube para conversores de MP3 para usar em 2023

Porém, os dados coletados pelo ladrão diferem conforme o nome de usuário, nome do computador, endereços IP dos adaptadores de rede, Windows ProductName, variante do .NET Framework, processadores.

Os usuários do 3ds Max baixam a versão mais avançada das ferramentas de segurança para Autodesk 3ds Max 2021-2015SP1 para reconhecer e eliminar o malware PhysXPluginMfx MAXScript.

É por isso que os especialistas afirmam que o refinamento do ataque expõe um grupo do tipo APT que tinha conhecimento prévio sobre os sistemas de segurança da empresa e aplicações de software utilizadas – particularmente planeando o seu ataque para se infiltrar na organização e exfiltrar os dados não detectados.

As ferramentas usadas neste malware são: –

HdCrawler: A função principal desta ferramenta era listar, compor e manter uma lista completa de arquivos específicos.

InfoStealer: A principal função desta ferramenta era coletar informações, limitações de classificação, captura de tela e vinculação a um usuário específico no computador.

Extensão usada

  • “.fecho eclair”
  • “.rar”
  • “.alz”
  • “.7z”
  • “.mp4”
  • “.flv”
  • “.webm”
  • “.webp”
  • “.jpg”
  • “.jpeg”
  • “.png”
  • “.avi”
  • “.mkv”
  • “.mp3”
  • “.mpeg”
  • “.mpg”
  • “.apk”
  • “.obb”
  • “.pur”
  • “.uaasset”

Além disso, a base de comando e controle (C&C) aplicada no ataque, e todos os detalhes foram classificados pela empresa de segurança cibernética.

Mas a empresa ainda não compartilhou nenhuma outra informação sobre a atribuição, embora esta vulnerabilidade executasse suas operações de forma muito silenciosa e os invasores permanecessem fora do radar. Como o binário malicioso foi coberto, o Gerenciador de Tarefas ou o Monitor de Desempenho funcionam em segundo plano.

Indicador de compromisso

Hashes de arquivo:

•04715dd5b4e4e4e452d86f2c874ea9e6ad916f17838f116c8ab4ccfc7b9b6657
•1c2f754045bc442cf5147dadccd1ff3c8e58205362e1940c3f1f87ab303006a5
•A32f5e65051eb95d0ccdcc899d45f56369659a6edea068da5e59951f4c903f7b
•C75fcb34a5b35b6b73191de3f342806d3cce5a446c64f55fb3423f0cd5dbe248
•2d934a705638acd3fcb44f66a9a1633c27231550113f20df6061c10b1a6e9f6
•d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa
2b394c330949c85097f13eded38f08b358d399b7615bbe3659dd9d82ec82675c
•A16b2c6a60975e4def1f799c69f7f38064653b5a99bc577fc008f0a808c7bc62
•E16a5847ac62bb4d5a661863fd5dba5201d27784e280aeee25a34702ed4c1528
•C2f51b2c116bcc9c95dbf567a90ec4fe0f5fbddb066a6d3cdf814295838e00f8
•D3a38047c207dee4b09d607a568390306f76025cd6986ec3e7c3fbd21a231d0e
•37ea55d1dceb467c595299f0f19a68d5530015b6d9c7ed5cc16324f52773e536
•711d45ff150aa734771fec1c08e394118a7bcd015dacac8889c965aeabfc7c9d
•07cebf1d377b9d28e53b7139a56e632e19c8f53e07546298f180322d462512e3
•536ef8065ded253465d6a5a967dafdcb2d158a7ea3157f0b265788745ed38409
•9e4ba32d42f26b7b3bb24ec786992ed017318a4074b2e141ad0f4a05435f4862

Nomes de arquivos:
• PhysXPluginStl.mse
• consertarTudo.mse
• padrão.mse
• %LOCALAPPDATA%\Microsoft\Internet Explorer\MSWINTAP.DAT
• %LOCALAPPDATA%\Microsoft\Internet Explorer\MSWINSIG.DAT
• %LOCALAPPDATA%\Microsoft\Internet Explorer\ie4uRidd.dat

Nós recomendamos:  Como desenvolver uma estratégia de festival para o seu filme que não desperdice tempo ou dinheiro

URL:
• hxxp://175.197.40[.]61:3445/eYOMAHg
• hxxp://175.197.40[.]61:3445/YkSxBJVz
• hxxp://175.197.40[.]61:3445/n
• hxxp://175.197.40[.]61:3445/r
• hxxp://175.197.40[.]61:3445/l
• hxxp://175.197.40[.]61:3445/b
• hxxp://175.197.40[.]61:3445/TYEHVSjn2Ny
• hxxp://175.197.40[.]61:3445/grhL1wCYAhf
• hxxp://175.197.40[.]61:3445/Público/Find_Alc
• hxxp://175.197.40[.]61:3445//Público/Find_Crp
• hxxp://175.197.40[.]61:3445/FRNuzqJIZyb
• hxxp://175.197.40[.]61:3445/Público/corrigirTudo
• hxxp://175.197.40[.]61:3445/Público/NlWuLNUDzqM

Endereços IP C&C:
• 175[.]197[.]40[.]61

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.