جاسوسی صنعتی از طریق نرم افزار Autodesk 3ds Max

یکی از انگیزه‌ های گروه‌های APT که با استفاده از روش های پیشرفته و مخفی تلاش می کنند اطلاعاتی را به صورت مستمر در مورد فرد یا گروهی از افراد به دست آورند، معمولاٌ انگیزه مالی است. گاهی وقت ها نیز اعضای این گروه‌ها توسط شرکت‌های بخش خصوصی به منظور دستیابی به اطلاعات محرمانه رقبای تجاری استخدام می‌شوند.

به تازگی نمونه ای از جاسوسی سایبری که یک شرکت بین المللی فعال در حوزه معماری و تولید فیلم را هدف قرار داده، شناسایی شده است. این گروه با استفاده از یک افزونه مخصوص که برای نرم‌افزار “Autodesk 3ds Max” طراحی شده است، اقدام به جمع آوری اطلاعات شرکت‌ها می‌کردند. بر اساس تحقیقات انجام شده، زیرساخت فرماندهی و کنترل مورد استفاده این گروه هکری برای آزمایش پی‌لودهای مخرب بر ضد راهکارهای امنیتی سازمان‌ها در کشور کره جنوبی قرار دارد.

البته در گذشته هم سایر گروهای APT همچون Dark Basin و Deceptikons بخش های مالی و حقوقی را هدف حملاتی قرار می دادند اما این اولین بار است که مهاجمان از همین روش برای نفوذ به شاغلان صنعت املاک استفاده می کنند. قبل از این هم کمپین دیگری اقدام به نصب نرم افزارهای آلوده در شبکه های سازمانی، با هدف استخراج اسناد آنها می کرد.

بنابر شواهد موجود، احتمالاً تمام گروه های APT اعم از گروه های تحت حمایت دولت ها و همچنین اشخاصی که در پی دستیابی به منافع شخصی شان هستند؛ در تمام صنایع، از این روش به عنوان روشی اصلی برای اجرای حمله های خود استفاده می کنند.

 

افزونه Autodesk 3ds Max آلوده

شرکت Autodesk در بیانیه‌ای که منتشر کرده به کاربران در خصوص نسخه جدیدی از اکسپلویت MAXScript PhysXPluginMfx خبر داده است که می‌تواند تنظیمات نرم‌افزار 3ds Max را تغییر داده، کد مخربی را اجرا کرده و سایر فایل‌های MAX در تمامی سیستم عامل های ویندوز را نیز آلوده کند.

نمونه رمزنگاری شده MAXScript که در این حمله برای آلوده کردن سیستم ها از آن استفاده می شود، حاوی یک فایل DLL است که به صورت همزمان توسط چندین برنامه مورد استفاده قرار می گیرد. در ادامه، پس از بارگذاری این فایل بر روی سیستم هدف، تعدادی فایل NET. بر روی سیستم قربانی دانلود می شود. این فایل های NET. وظیفه دانلود سایر اسکریپت های MAX مخرب را به منظور جمع آوری اطلاعات از سیستم های آلوده و ارسال آنها به سرور فرماندهی و کنترل (C&C) این بدافزار بر عهده دارند. در نهایت نیز کلمه های عبور از مرورگرهایی مثل فایرفاکس، گوگل کروم و اینترنت اکسپلورر با دانلود و نصب یک پی لود ویژه بر روی سیستم قربانی و گرفتن تصویر از صفحه وی جمع آوری می شوند.

لازم به ذکر است مهاجمان در این حمله از سرور فرماندهی و کنترل، در حقیقت برای اعلام به سیستم های آلوده که چه نوع اطلاعاتی برای سرقت مناسب هستند، با هدف استخراج اسناد مهم استفاده می کنند.

بر اساس تحقیقات صورت گرفته، طراحان این بدافزار از یک مجموعه نرم افزارها برای جاسوسی از قربانیان استفاده می کنند. به عنوان مثال آنها از نرم افزار HdCrawler که امکان جستجو در سیستم ها و جمع آوری محتوای مورد نظر را دارد برای تشخیص و بارگذاری فایل هایی با پسوندهای خاص مانند webp ،.jpg ،.png ،.zip ،.obb ،.uasset. و … سوءاستفاده می کنند.

اطلاعاتی که توسط این بدافزار جمع آوری می شود، بسیار متنوع بوده و شامل مواردی همچون نام کاربری، نام رایانه، آدرس آی پی کاربر، نسخه NET Framwork.، تعداد هسته های پردازنده و سرعت آن و همچنین اطلاعات دیگری در خصوص پردازنده ها، میزان حافظه RAM و مقدار ظرفیت خالی آن، جزییات ذخیره فرایندهای در حال اجرا بر روی سیستم، لیست فرایندهای تنظیم شده که پس از روشن شدن رایانه و به صورت خودکار اجرا می شوند و نیز لیست فایل های قابل دسترس است.

محققان امنیتی با توجه به این که بدافزارهای دیگری هم با سرور C&C این بدافزار ارتباط داشته اند چنین تصور می کنند این گروه مجرمانه سایبری، قربانیان دیگری را هم مورد هدف حملات خود قرار داده باشد. پیچیدگی و نوع حملات انجام شده بیانگر آن است که این گروه ابتدا اطلاعاتی را درباره سیستم های امنیتی شرکت های مورد نظرشان به دست آورده و سپس با استفاده از نرم افزارهای ذکر شده به گونه ای برنامه ریزی می کنند که بتوانند اطلاعات و اسناد مربوطه را از سیستم های کاربران سرقت کنند؛ آن هم به نحوی که سامانه های امنیتی شرکت ها قادر به تشخیص این حملات نباشند.

از آن جا که جاسوسی صنعتی پدیده جدیدی نیست و با توجه به رقابتی بودن صنعت املاک و قراردادهای میلیارد دلاری که در این حوزه منعقد می شود بنابراین گروه های APT با انجام چنین حملاتی تلاش بر برنده شدن در مزایده پروژه های لوکس را دارند.

به کاربران 3ds Max توصیه می شود به منظور شناسایی و حذف بدافزار PhysXPluginMfx، ابزارهای امنیتی نرم افزار 3ds Max را بر روی سیستم هایشان نصب کرده تا همچنان بتوانند از اطلاعات شان در برابر این بدافزار محافظت های لازم را به عمل آورند.

 

منبع: thehackernews  

 

خروج از نسخه موبایل