Recentemente, os hackers da APT exploraram uma vulnerabilidade no software convencional de computação gráfica 3D da Autodesk para iniciar um novo ataque de espionagem cibernética aos sistemas das empresas internacionais de arquitetura e criação de vídeo.
Os pesquisadores detectaram esta vulnerabilidade e afirmaram que um grupo de hackers desconhecido tinha como alvo empresas de todo o mundo, com malware escondido dentro de plug-ins maliciosos do 3Ds Max.
O grupo conduz operações de espionagem usando um plugin mal-intencionado para o Software Autodesk 3dsMax. Aqui, os grupos mercenários APT foram identificados para contribuir com a sua assistência ao licitante com lance mais alto, expandindo ataques sofisticados e ferramentas essenciais de ciberespionagem contra as vítimas-alvo.
Alvos
De acordo com relatórioos atores da ameaça sempre têm como alvo a empresa que trabalha com as incorporadoras imobiliárias e são de países como: –
- NÓS
- Reino Unido
- Omã
- Coreia do Sul
- Japão
- África do Sul
Principais conclusões
Os especialistas proferiram algumas descobertas importantes detectadas nesta vulnerabilidade, e aqui elas são mencionadas abaixo:-
- O potencial grupo mercenário APT usado para ciberespionagem industrial.
- Espionagem industrial para competitividade no empreendimento imobiliário.
- Carga útil mal disposta fingindo ser um plugin para um moderno software de computação gráfica 3D
- A carga que é testada em relação à explicação de segurança da empresa para evitar a divulgação na entrega.
- Fundação C2 com sede na Coreia do Sul.
Hackers usando um plugin malicioso para o software Autodesk 3ds Max
A Autodesk notificou os usuários sobre a variante do exploit MAXScript “PhysXPluginMfx” que pode facilmente danificar as configurações do 3ds Max. Como ele pode executar código malicioso e entregar outros arquivos MAX em um Windows sistema ao colocar os arquivos infectados no software.
Porém, os dados coletados pelo ladrão diferem conforme o nome de usuário, nome do computador, endereços IP dos adaptadores de rede, Windows ProductName, variante do .NET Framework, processadores.
Os usuários do 3ds Max baixam a versão mais avançada das ferramentas de segurança para Autodesk 3ds Max 2021-2015SP1 para reconhecer e eliminar o malware PhysXPluginMfx MAXScript.
É por isso que os especialistas afirmam que o refinamento do ataque expõe um grupo do tipo APT que tinha conhecimento prévio sobre os sistemas de segurança da empresa e aplicações de software utilizadas – particularmente planeando o seu ataque para se infiltrar na organização e exfiltrar os dados não detectados.
As ferramentas usadas neste malware são: –
HdCrawler: A função principal desta ferramenta era listar, compor e manter uma lista completa de arquivos específicos.
InfoStealer: A principal função desta ferramenta era coletar informações, limitações de classificação, captura de tela e vinculação a um usuário específico no computador.
Extensão usada
- “.fecho eclair”
- “.rar”
- “.alz”
- “.7z”
- “.mp4”
- “.flv”
- “.webm”
- “.webp”
- “.jpg”
- “.jpeg”
- “.png”
- “.avi”
- “.mkv”
- “.mp3”
- “.mpeg”
- “.mpg”
- “.apk”
- “.obb”
- “.pur”
- “.uaasset”
Além disso, a base de comando e controle (C&C) aplicada no ataque, e todos os detalhes foram classificados pela empresa de segurança cibernética.
Mas a empresa ainda não compartilhou nenhuma outra informação sobre a atribuição, embora esta vulnerabilidade executasse suas operações de forma muito silenciosa e os invasores permanecessem fora do radar. Como o binário malicioso foi coberto, o Gerenciador de Tarefas ou o Monitor de Desempenho funcionam em segundo plano.
Indicador de compromisso
Hashes de arquivo:
•04715dd5b4e4e4e452d86f2c874ea9e6ad916f17838f116c8ab4ccfc7b9b6657
•1c2f754045bc442cf5147dadccd1ff3c8e58205362e1940c3f1f87ab303006a5
•A32f5e65051eb95d0ccdcc899d45f56369659a6edea068da5e59951f4c903f7b
•C75fcb34a5b35b6b73191de3f342806d3cce5a446c64f55fb3423f0cd5dbe248
•2d934a705638acd3fcb44f66a9a1633c27231550113f20df6061c10b1a6e9f6
•d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa
2b394c330949c85097f13eded38f08b358d399b7615bbe3659dd9d82ec82675c
•A16b2c6a60975e4def1f799c69f7f38064653b5a99bc577fc008f0a808c7bc62
•E16a5847ac62bb4d5a661863fd5dba5201d27784e280aeee25a34702ed4c1528
•C2f51b2c116bcc9c95dbf567a90ec4fe0f5fbddb066a6d3cdf814295838e00f8
•D3a38047c207dee4b09d607a568390306f76025cd6986ec3e7c3fbd21a231d0e
•37ea55d1dceb467c595299f0f19a68d5530015b6d9c7ed5cc16324f52773e536
•711d45ff150aa734771fec1c08e394118a7bcd015dacac8889c965aeabfc7c9d
•07cebf1d377b9d28e53b7139a56e632e19c8f53e07546298f180322d462512e3
•536ef8065ded253465d6a5a967dafdcb2d158a7ea3157f0b265788745ed38409
•9e4ba32d42f26b7b3bb24ec786992ed017318a4074b2e141ad0f4a05435f4862
Nomes de arquivos:
• PhysXPluginStl.mse
• consertarTudo.mse
• padrão.mse
• %LOCALAPPDATA%\Microsoft\Internet Explorer\MSWINTAP.DAT
• %LOCALAPPDATA%\Microsoft\Internet Explorer\MSWINSIG.DAT
• %LOCALAPPDATA%\Microsoft\Internet Explorer\ie4uRidd.dat
URL:
• hxxp://175.197.40[.]61:3445/eYOMAHg
• hxxp://175.197.40[.]61:3445/YkSxBJVz
• hxxp://175.197.40[.]61:3445/n
• hxxp://175.197.40[.]61:3445/r
• hxxp://175.197.40[.]61:3445/l
• hxxp://175.197.40[.]61:3445/b
• hxxp://175.197.40[.]61:3445/TYEHVSjn2Ny
• hxxp://175.197.40[.]61:3445/grhL1wCYAhf
• hxxp://175.197.40[.]61:3445/Público/Find_Alc
• hxxp://175.197.40[.]61:3445//Público/Find_Crp
• hxxp://175.197.40[.]61:3445/FRNuzqJIZyb
• hxxp://175.197.40[.]61:3445/Público/corrigirTudo
• hxxp://175.197.40[.]61:3445/Público/NlWuLNUDzqM
Endereços IP C&C:
• 175[.]197[.]40[.]61
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.