Hackers de APT aprovechan el software Autodesk 3ds Max para espionaje industrial

autodesk-3ds-max

Una cosa es que los grupos APT realicen ciberespionaje para cumplir sus propios objetivos financieros. Pero es un asunto completamente diferente cuando son utilizados como «piratas informáticos a sueldo» por empresas privadas competidoras para deshacerse de información confidencial.

El Laboratorio de Inteligencia de Amenazas Cibernéticas de Bitdefender descubrió otro caso más de un ataque de espionaje dirigido a una empresa internacional no identificada de producción de video y arquitectura que tenía todas las características de una campaña cuidadosamente orquestada.

«El grupo de ciberdelincuentes se infiltró en la empresa utilizando un complemento contaminado y especialmente diseñado para Autodesk 3ds Max», dijeron los investigadores de Bitdefender en un informe publicado hoy.

«La investigación también encontró que la infraestructura de Comando y Control utilizada por el grupo ciberdelincuente para probar su carga útil maliciosa contra la solución de seguridad de la organización está ubicada en Corea del Sur».

Aunque ha habido instancias anteriores de grupos mercenarios APT como Dark Basin y Deceptikons (también conocido como DeathStalker) dirigidos al sector financiero y legal, esta es la primera vez que un actor de amenazas emplea el mismo modus operandi en la industria de bienes raíces.

El mes pasado, se descubrió una campaña similar, llamada StrongPity, que usa instaladores de software corruptos como cuentagotas para introducir una puerta trasera para la exfiltración de documentos.

«Es probable que esto se convierta en la nueva normalidad en términos de la mercantilización de los grupos APT, no solo de los actores patrocinados por el estado, sino de cualquiera que busque sus servicios para beneficio personal, en todas las industrias», dijo la firma de ciberseguridad.

Uso de un complemento corrupto de Autodesk 3ds Max

En un aviso publicado a principios de este mes, Autodesk advirtió a los usuarios sobre una variante del exploit MAXScript «PhysXPluginMfx» que puede corromper la configuración de 3ds Max, ejecutar código malicioso y propagarse a otros archivos MAX en un sistema Windows al cargar los archivos infectados en el software.

Pero según el análisis forense de Bitdefender, esta muestra incompleta de MAXScript Encrypted («PhysXPluginStl.mse») contenía un archivo DLL incrustado, que luego descargó binarios .NET adicionales del servidor C&C con el objetivo final de robar documentos importantes.

Los binarios, a su vez, son responsables de descargar otros MAXScripts maliciosos capaces de recopilar información sobre la máquina comprometida y filtrar los detalles al servidor remoto, que transmite una carga útil final que puede capturar capturas de pantalla y recopilar contraseñas de navegadores web como Firefox, Google Chrome e Internet Explorer.

Además de emplear un mecanismo de suspensión para pasar desapercibido y evadir la detección, los investigadores de Bitdefender también descubrieron que los autores del malware tenían un conjunto completo de herramientas para espiar a sus víctimas, incluido un binario «HdCrawler», cuyo trabajo es enumerar y cargar archivos con información específica. extensiones (.webp, .jpg, .png, .zip, .obb, .uasset, etc.) para el servidor y un ladrón de información con amplias funciones.

La información recopilada por el ladrón va desde el nombre de usuario, el nombre de la computadora, las direcciones IP de los adaptadores de red, el nombre del producto de Windows, la versión de .NET Framework, los procesadores (número de núcleos, la velocidad y otra información), RAM total y libre disponible. , detalles de almacenamiento hasta los nombres de los procesos que se ejecutan en el sistema, los archivos configurados para iniciarse automáticamente después de un arranque y la lista de archivos recientes a los que se accedió.

Los datos de telemetría de Bitdefender también encontraron otras muestras de malware similares que se comunican con el mismo servidor de C&C, que datan de hace poco menos de un mes, lo que sugiere que el grupo apunta a otras víctimas.

Se recomienda que los usuarios de 3ds Max descarguen la última versión de Herramientas de seguridad para Autodesk 3ds Max 2021-2015SP1 para identificar y eliminar el malware PhysXPluginMfx MAXScript.

«La sofisticación del ataque revela un grupo estilo APT que tenía conocimiento previo de los sistemas de seguridad de la empresa y usaba aplicaciones de software, planeando cuidadosamente su ataque para infiltrarse en la empresa y filtrar datos sin ser detectados», dijeron los investigadores.

“El espionaje industrial no es nada nuevo y, dado que la industria inmobiliaria es altamente competitiva, con contratos valorados en miles de millones de dólares, hay mucho en juego para ganar contratos para proyectos de lujo y podría justificar recurrir a grupos mercenarios de APT para obtener una ventaja en la negociación. «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática