Обнаружена кампания по распространению малвари для AutoCAD, активная с 2014 года

Аналитики компании Forcepoint опубликовали интересный отчет, посвященный хак-группе, занимающейся промышленным шпионажем и атакующей фирмы, использующие в своей работе AutoCAD.

Исследователи считают, что данная вредоносная кампания активна с 2014 года, и злоумышленники, стоящие за атаками, преимущественно интересуются энергетическим сектором, хотя и атакуют компании и предприятия в разных странах мира, включая Китай, Индию, Турцию и ОАЭ.

Для распространения малвари преступники в основном используют направленный фишинг, и их письма содержат вредоносные архивы, файлы AutoCAD (.cad) или же ссылки, перейдя по которым жертвы могут самостоятельно загрузить файлы. Ссылки используются в тех случаях, когда нужно обойти ограничения на размер прилагаемых к письмам вложений. Как правило, фишинговые послания содержат уже украденные ранее данные, документы и чертежи, имеющие отношение к каким-либо крупным проектам: отелям, фабрикам и даже мосту Гонконг-Чжухай-Макао.

Аналитики объясняют, что попавшиеся на уловки хакеров пользователи подвергаются заражению из-за того, что в архивах ZIP содержатся не только файлы AutoCAD (.cad), но также модули Fast-Load AutoLISP (.fas). В сущности, это эквивалент скриптов для AutoCAD, которые хакеры используют точно так же, как вредоносные макросы в документах Word. Разница лишь в том, что .fas используют Lisp, а не VisualBasic или PowerShell.

Восстановленный файл AutoLISP после расшифровки и декомпиляции

В зависимости от настроек, AutoCAD либо выполнит .fas тогда, когда пользователь откроет основной проект .cad, либо  тогда, когда пользователь откроет любой файл .cad вообще. Хотя AutoCAD с 2014 года предупреждает пользователя о потенциальной опасности, которую таит в себе исполнение .fas, равно как и в случае с Office, пользователи зачастую просто игнорируют эти сообщения.

К сожалению, помимо этого необычного вектора распространения малвари о данной вредоносной кампании известно не так уж много. Специалисты Forcepoint еще продолжают расследование, но различные изученные ими версии вредоносного acad.fas не привели ни к чему конкретному. Так, после исполнения модуль пытается связаться с управляющим сервером преступников и загрузить оттуда какую-то малварь, однако установить, какую именно, не удалось. При этом неясно, срабатывают ли на управляющем сервере какие-то триггеры, призванные отделить нужных жертв от ненужных, или кампания сейчас попросту неактивна.

Все, что удалось выяснить специалистам: управляющий сервер преступников, похоже, работает с китайской установкой Microsoft Internet Information Server 6.0, а на соседних IP-адресах размещены похожие сервисы. Это навело исследователей на мысли о том, что всё это – лишь часть большей инфраструктуры неизвестной группы.

Мария Нефёдова :Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.