對於不少設計公司來說,Autodesk都是一個必不可少的軟體。特別是對於建築公司來說,Autodesk的3ds Max更是一個重中之重。不過,最近就有黑客組織利用了3ds Max的漏洞來入侵一家國際知名的建築公司。
發現這次入侵的網絡安全機構Bitdefender並沒有指出是哪家公司遭到了入侵,但是表示這家公司與紐約、倫敦、澳洲以及阿曼的一些房地產項目都有幾十億美元的合作。
根據Bitdefender的報告,黑客是使用了一個Autodesk 3ds Max的惡意插件來進行入侵的。這個惡意插件名為「PhysXPluginMfx」,實則上是MAXScript攻擊的一個變種。它可以通過破壞Autodesk 3ds Max的設定來運行惡意代碼,並且最終傳播到Windows系統內的其他文件中。
黑客入侵路徑
具體來說,黑客是利用MAXScript PhysXPluginStl漏洞來下載並執行一舍嵌入式DLL文件,這個文件會充當兩個.net二進位文件的加載器。之後這些文件會下載其他惡意的MAXScript,這些MAXScript會收集目標系統中的各種信息,包括Chrome以及Firefox儲存的各種密碼、計算機的信息以及截圖,然後透過自定義算法對其進行加密,並且把加密過的文件掩飾為base64內容。
研究人員在過程中也發現了大量黑客使用的間諜工具,例如用於把特定文件上傳到C2的HdCrawler以及可以截屏、收集用戶名帳號名稱、網絡適配器IP位址、存儲訊息以及系統其他數據的InfoStealer。報告指出,這次的攻擊是由APT僱傭組織發起的,意味著是很有可能是有人聘請他們入侵這家公司作出這種間諜行為,因此有可能幕後黑手是這家公司的競爭對手。
而Autodesk已經發出了一份與這次入侵有關的通知,建議3ds Max的用戶儘快安裝最新版的Autodesk 3ds Max 2021-2015SP1安全工具來找出並且刪除PhysXPluginMfx插件。