Cyber Spionaggio industriale: APT hackers utilizzano la vulnerabilità del software Autodesk 3DMax
Scoperta un’operazione di cyber spionaggio industriale: il gruppo in stile APT utilizza una vulnerabilità del software di computer grafica 3D di Autodesk (Autodesk 3ds Max) per compromettere il bersaglio.
Secondo l’analisi di BitDefender la complessità dell’attacco rivela che il gruppo hacker ha una conoscenza preliminare dei sistemi di sicurezza dell’azienda e delle applicazioni software utilizzate: il che significa che l’attacco è stato attentamente pianificato per infiltrarsi nell’azienda ed estrarre i dati senza essere rilevati.
Cyber spionaggio
L’attacco di cyber-spionaggio in stile APT , sempre secondo BitDefender sarebbe partito da un’infrastruttura – server di comando e controllo malware – con sede in Corea del Sud.
Gli attacchi analizzati hanno scoperto uno degli obiettivi: una società di produzione video e architettonica internazionale, attualmente impegnata in progetti architettonici con sviluppatori immobiliari di lusso da miliardi di dollari in quattro continenti: New York, Londra, Australia e Oman.
Il ricorso a gruppi APT mercenari potrebbe essere stato utilizzato per ottenere un vantaggio negoziale.
L’analisi di un attacco cyber per Spionaggio industriale
Secondo il WhitePaper l’analisi forense delle minacce è iniziata da un campione sospetto denominato PhysXPluginStl.mse (hash:
d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa) che ha attivato i sospetti.
Da parte sua Autodesk aveva pubblicato un avviso ad Agosto:
“Autodesk consiglia agli utenti di 3ds Max di scaricare l’ultima versione degli strumenti di sicurezza per Autodesk 3ds Max 2021-2015SP1 disponibile nell’Autodesk App Store per identificare e rimuovere il malware PhysXPluginMfx MAXScript”
Bitedefender WhitePaper
Il payload dannoso pretendeva di essere un plug-in per Autodesk 3ds Max. In realtà, il plug-in è una variante di un exploit MAXScript di Autodesk 3ds Max, denominato “PhysXPluginMfx”.
In questa specifica campagna di spionaggio, gli aggressori hanno utilizzato l’exploit MAXScript PhysXPluginStl per scaricare ed eseguire un file DLL incorporato. Questo file funge da caricatore per due file binari .net. Questi file quindi scaricano altri MAXScript dannosi, che raccolgono informazioni variabili sulla vittima (comprese le password del browser Web per Google Chrome e Firefox, informazioni sulla macchina e schermate), le crittografano con un algoritmo personalizzato e mascherano il risultato in modo che sembri essere contenuto base64.
Leggi il report per vedere l’analisi: More Evidence of APT Hackers-for-Hire Used for Industrial Espionage
Note
Situazione in Italia: l’attività di cyber spionaggio, per rubare sia segreti commerciali che dati personali, secondo il rapporto Clusit, pur restando sostanzialmente stabile, in Italia rappresenta la causa del 12% degli attacchi gravi nel 2019, pur rimandeno classificabili con una gravità più alta della media.