Office_Portland-015.jpg

Novo grupo APT de cibermercenários explora falha no Autodesk 3DS Max

Da Redação
26/08/2020

Pesquisadores de segurança descobriram um novo grupo de hackers que opera ameaças persistentes avançadas (APTs) por meio de aluguel e explorara uma vulnerabilidade no popular software de 3DS Max da Autodesk. O mais recente ataque de ciberespionagem realizado pelo grupo foi contra uma empresa internacional de arquitetura e produção de vídeo.

A Bitdefender, empresa de segurança de origem romena que produz software antivírus e outros serviços, revelou detalhes do grupo, que não tem nome, em um novo relatório publicado nesta quarta-feira, 26, que traz mais evidências de aluguel de APTs usadas ​​para espionagem industrial.

Os pesquisadores disseram que uma análise mais aprofundada do ataque aponta para um grupo sofisticado no estilo APT que tinha conhecimento prévio dos sistemas de segurança da empresa e aplicativos de software usados e planejou cuidadosamente o ataque para se infiltrar na empresa e exfiltrar dados sem serem detectados. A empresa-alvo, cujo nome não foi revelado, é conhecida por ter desenvolvido projetos imobiliários de luxo de bilhões de dólares em Nova York, Londres, Austrália e Omã.

Para alcançar seus objetivos de espionagem industrial, o grupo utilizou a infraestrutura de comando e controle (C&C) na Coreia do Sul e uma carga maliciosa de dia zero projetada para explorar uma vulnerabilidade no software de computação gráfica Autodesk 3DS Max usado pela empresa para modelagem 3D. Isso lhes permitiu ganhar uma posição nas máquinas das vítimas e implantar ferramentas maliciosas adicionais, disse a Bitdefender.

Veja isso
Cibermercenários prestam serviços de hack há quase 10 anos
Grupo hacker DeathStalker tem como alvo PMEs do setor financeiro

A marca registrada do ataque é o uso de um plugin malicioso para o Autodesk 3DS Max, desenvolvido pela Autodesk Media and Entertainment. Os recursos de roubo de informações do grupo incluem: captura de tela e coleta de nome de usuário, nome do computador, endereços IP de adaptadores de rede, nome do produto Windows, versão do NET Framework, informações sobre os processadores, RAM total e livre, detalhes de armazenamento, a lista de conjuntos de arquivos para iniciar automaticamente quando o Windows é inicializado, lista de processos e arquivos recentes.

A Bitdefender disse que não ter evidências de quaisquer outras vítimas até o momento, embora a infraestrutura de C&C ainda esteja ativa.

A descoberta do grupo de hackers de APT de aluguel vem após revelações recentes sobre a existência de grupo de cibermercenários que operam APTs semelhantes, incluindo Deceptikons e Dark Basin, bem como StrongPity, este ligado a militares turcos. “Isto [grupo de cibermercenários] está começando a ser uma nova tendência que provavelmente veremos mais no futuro”, alertou o pesquisador de segurança cibernética global da Bitdefender, Liviu Arsene.

Segundo ele, à medida que os grupo de cibercriminosos estão se tornando mais sofisticados e agem mais como mercenários, é provável que continuem a disponibilizar seus serviços para quem pagar mais. “Este novo modelo de negócios APT como serviço parece ser o próximo passo evolutivo em ataques sofisticados.”

A Autodesk emitiu um comunicado sobre a falha no início deste mês. A nota diz: “A Autodesk recomenda que os usuários do 3DS Max baixem a versão mais recente das ferramentas de segurança para o Autodesk 3DS Max 2021-2015SP1 disponível na Autodesk App Store para identificar e remover o malware PhysXPluginMfx MAXScript”.

No caso desse ataque de espionagem específico, os invasores utilizaram o exploit MAXScript PhysXPluginStl para baixar e executar um arquivo DLL embutido. Este arquivo atua como um carregador para dois arquivos binários .net. Em seguida, esses arquivos baixam outros MAXScripts maliciosos, que coletam várias informações sobre a vítima (incluindo senhas de navegador da web para Google Chrome e Firefox, informações sobre a máquina e capturas de tela), as criptografam com um algoritmo personalizado e mascaram o resultado para que pareça ser conteúdo Base64, método para codificação de dados para transferência na internet.

Como parte disso, os pesquisadores descobriram uma série de ferramentas de espionagem utilizadas pelos operadores da ameaça, incluindo HdCrawler, que lista, compacta e carrega arquivos específicos para o servidor C&C; e um InfoStealer, que tem a capacidade de capturar e coletar o nome de usuário, endereços IP de adaptadores de rede, informações sobre armazenamento e mais informações sobre o sistema.

Compartilhar: