Posted on 12/02/2019 by CyRadar
AUTOCAD – MALWARE ĐANG MANH NHA TRỞ LẠI
Hà Trường – CyRadar team
Mới đây hệ thống SOC của CyRadar đã phát hiện ra một chiến dịch tấn công tinh vi sử dụng AutoCAD-malware nhắm vào các doanh nghiệp. AutoCAD là phần mềm thiết kế nổi tiếng được sử dụng nhiều và phổ biến nhất trong lĩnh vực thiết kế hiện nay. Chính vì lí do đó mà loại mã độc AutoCAD-malware xuất hiện nhằm mục đích đánh cắp những dữ liệu quan trọng trên máy tính người dùng.
Chiến dịch này đã được các nhà nghiên cứu bảo mật Forcepoint phát hiện vào tháng 11 năm 2018, Forcepoint cho biết nhóm đứng sau chiến dịch gần đây rất tinh vi và chủ yếu quan tâm đến gián điệp công nghiệp do chúng chỉ lây nhiễm qua phần mềm AutoCAD, một phần mềm rất đắt tiền, được sử dụng bởi các kỹ sư và nhà thiết kế.
Để lây lan mã độc, tin tặc đã sử dụng các email lừa đảo có chứa các tệp AutoCAD độc hại hoặc các liên kết tải xuống file ZIP nếu kích thước tệp AutoCAD quá lớn. Khi máy tính bị lây nhiễm, mã độc sẽ tự động nhân bản vào thư mục của bất kỳ dự án nào được mở trên máy, điều này sẽ góp phần lây nhiễm mã độc nếu dự án đã bị lây nhiễm được mở trên một máy tính khác.
TIN TẶC LỢI DỤNG SCRIPT CỦA AUTOCAD
Các dự án bị lây nhiễm đều xuất hiện tệp AutoLISP (.fas) có thuộc tính ẩn nhằm che mắt người dùng. Các tệp .fas này tương đương với các tập lệnh được sử dụng trong phần mềm thiết kế AutoCAD, giống cách mà macro hoạt động trên trình soạn thảo văn bản Word. Sự khác biệt là FAS sử dụng ngôn ngữ lập tình Lisp cho tập lệnh của nó, thay vì sử dụng VisualBasic (VBScript) cho macro trong Word.
Trong cài đặt mặc định của AutoCAD, phần mềm sẽ tự động thực thi các tệp .fas độc hại khi người dùng mở bất kỳ dự án nào đã bị lây nhiễm.
Trong các phiên bản AutoCAD (phát hành sau năm 2014) thì sẽ hiển thị các cảnh báo khi thực thi các tệp .fas, giống như cảnh báo macro trong trình soạn thảo văn bản Word, đa số người dùng phổ thông thì thường bỏ qua các cảnh báo mà không quan tâm hoặc không hiểu nội dung cảnh báo dẫn đến mất an toàn hệ thống.
CHIẾN DỊCH VẪN ĐANG DIỄN RA
Hiện tại hệ thống SOC của CyRadar vẫn đang phát hiện một vài cuộc tấn công lây nhiễm mã độc AutoCAD trong các doanh nghiệp. Mã độc được phát hiện với tên “acad.fas” chúng có rất nhiều mã hash khác nhau nhưng qua quá trình phân tích thì thấy chúng có một nhiệm vụ chung đó là kết nối đến máy chủ điều khiển để tải xuống phần mềm độc hại khác.
Tuy nhiên, ở thời điểm phân tích thì máy chủ điều khiển không trả về bất cứ dữ liệu gì nên chưa xác định rõ được hành vi tiếp theo của chiến dịch, có thể tin tặc muốn nhắm tới một một nạn nhân cụ thể nào đó?.
Theo báo cáo phân tích của Forcepoint, các nhóm phát tán mã độc AutoCAD ở các thời điểm khác nhau đều là một vì địa chỉ máy chủ điều khiển giống các phiên bản lây nhiễm AutoCAD trước đó.
Ngoài ra họ còn cho biết tất cả các tên miền của máy chủ điều khiển đều được phân giải cùng một địa chỉ IP và được cài đặt bằng tiếng Trung của Microsoft Internet Information Server 6.0. Đặc biệt, họ còn phát hiện ra một địa chỉ IP lân cận đang lưu trữ dịch vụ tương tự, rất có thể là một phần của cơ sở tấn công lớn hơn.
NGƯỜI DÙNG CÓ THỂ TỰ BẢO VỆ MÌNH
- Autodesk đã đưa ra cách cài đặt cấu hình an toàn trong khuyến cáo bảo mật nhằm hạn chế tối đa mức độ ảnh hưởng, lây nhiễm của loại mã độc này, người dùng có thể áp dụng.
- Kiểm tra, rà quét các tệp AutoCAD bằng các phần mềm diệt virus uy tín trước khi mở trên máy.
Đây không phải là lần đầu tiên tin tặc sử dụng phần mềm độc hại dựa trên AutoCAD để lây nhiễm cho các công ty. Các chiến dịch trước đây đã được ghi nhận vào năm 2009 và 2012. Điều này cho thấy sự cần thiết của các giải pháp phát hiện và ngăn chặn tấn công mạng vì các loại mã độc không chỉ mở rộng mà còn phát triển và quay lại tấn công người dùng bất kỳ lúc nào.
IOC
C2
sl.szmr[.]org 98.126.72[.]139
sq.szmr[.]org 98.126.72[.]139
sqer.szmr[.]org 98.126.72[.]139
y.szmr[.]org 98.126.72[.]139
zxb.isdun[.]com 98.126.72[.]139
cadgs[.]com 98.126.72[.]138
SHA1 Hashes
acad.fas 89A5539F35259E5F0D9678577AAF019B3CA7D8A2