Μια προηγμένη ομάδα hacking η οποία δουλεύει και για λογαριασμό τρίτων εταιρειών/ανταγωνιστών, έχει παραβιάσει τα πληροφοριακά συστήματα μιας αρχιτεκτονικής εταιρείας που εμπλέκεται σε πολυτελή έργα ακινήτων αξίας δισεκατομμυρίων δολαρίων.
Η ομάδα hacking πραγματοποιεί επιθέσεις, με τον φορέα της επίθεσης στη συγκεκριμένη περίπτωση να είναι ένα κακόβουλο plugin για το λογισμικό Autodesk 3ds Max για τη δημιουργία 3D γραφικών υπολογιστή.
Σύμφωνα με έρευνα της Bitdefender, το θύμα του οποίου δεν έχει κυκλοφορήσει η επωνυμία είναι μια σημαντική εταιρεία που συνεργάζεται με πολυτελείς προγραμματιστές ακινήτων στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Αυστραλία και το Ομάν που συνεργάζονται με κορυφαίους αρχιτέκτονες και διακοσμητές εσωτερικών χώρων.
Για τη συγκεκριμένη επίθεση, η ομάδα hacking βασίστηκε στην υποδομή command and control (C2) στη Νότια Κορέα, η οποία κατέγραψε την επισκεψιμότητα από τα δείγματα malware σε πολλές χώρες (ΗΠΑ, Νότια Κορέα, Ιαπωνία, Νότια Αφρική), προτείνοντας μάλιστα και επιλεγμένα θύματα σε αυτές τις περιοχές.
Τα στοιχεία που ανακαλύφθηκαν από ερευνητές ασφαλείας δείχνουν μια ομάδα που παρέχει προηγμένες υπηρεσίες hacking σε διάφορους πελάτες που αναζητούν αναλυτικές εμπιστευτικές πληροφορίες και δεδομένα για συμβόλαια υψηλής αξίας.
Προσεκτική λειτουργία
Σε αυτήν την περίπτωση, η επίθεση εκμεταλλεύτηκε ένα κενό ασφάλειας που επηρέασε πολλές εκδόσεις Autodesk 3ds Max που επιτρέπει την εκτέλεση κώδικα σε ένα windows σύστημα.
Νωρίτερα αυτό το μήνα, η Autodesk προειδοποίησε ότι υπάρχει ένα exploit για το βοηθητικό πρόγραμμα scripting MAXScript με τη μορφή κακόβουλου plugin που ονομάζεται “PhysXPluginMfx.” Όταν φορτώνεται σε 3ds Max, το plugin μπορεί να μολύνει άλλα αρχεία MAX, διαδίδοντας τα έτσι σε άλλους χρήστες στο δίκτυο.
Σε αντίθεση με τις κυβερνο-εγκληματικές ομάδες που αναζητούν άμεσα οικονομικά κέρδη, η συγκεκριμένη ομάδα hacking χρησιμοποιεί malware που συλλέγει λεπτομέρειες σχετικά με το εκάστοτε παραβιασμένο πληροφοριακό σύστημα (όνομα υπολογιστή, όνομα χρήστη) και κλέβει ευαίσθητες πληροφορίες.
Εκτός από τη χρήση εργαλείων που λαμβάνουν screenshots και εξαγάγουν κωδικούς πρόσβασης και δεδομένα ιστορικού από τον Google Chrome, ο χάκερ χρησιμοποιεί malware κλέβοντας αρχεία με συγκεκριμένες επεκτάσεις.
Οι ερευνητές του Bitdefender εκτιμούν ότι ο εισβολέας μεταγλωττίζει αυτό το στοιχείο κλοπής αρχείων για κάθε θύμα για να το συμπεριλάβει στη λίστα των αρχείων που μπορεί να επιλέξουν.
Κρατώντας ένα μικρό αποτύπωμα
Για να παραμείνει χωρίς να εντοπιστεί σε ένα παραβιασμένο μηχάνημα, ο χάκερ στράφηκε σε ένα ενδιαφέρον τέχνασμα που έκανε το κακόβουλο script να είναι αδρανές εάν έτρεχαν Task Manager ή Performance Monitor.
Ανάλογα με το πόση “περιοχή” των windows ήταν ορατή για αυτές τις δύο εφαρμογές, ορίστηκε ένα flag για να καθοδηγήσει το malware να κοιμηθεί, μειώνοντας έτσι τη χρήση της CPU και τοποθετώντας το χαμηλότερα στη λίστα διεργασιών που απαιτούν ενέργεια.
Επίσης, η συμπίεση αρχείων χρησιμοποιήθηκε μόνο σε ορισμένα αρχεία. Τα δεδομένα που θα προσελκύσουν περιττή προσοχή εάν αρχειοθετηθούν, θα παραλειφθούν από αυτήν τη λειτουργία.
Η έκθεση της Bitdefender σήμερα αναφέρει ότι τα δεδομένα τηλεμετρίας δείχνουν ότι παρόμοια δείγματα malware επικοινώνησαν με το ίδιο C2 στη Νότια Κορέα λιγότερο από ένα μήνα πριν.
Αν και αυτό μπορεί να βοηθήσει στη σύνδεση με άλλες λειτουργίες, δεν αποτελεί την αρχή του χρονοδιαγράμματος δραστηριότητας της ομάδας.
