当前位置:首页  安全公告

关于CAD盗图木马的紧急预警

发布者:安全管理员发布时间:2022-06-06浏览次数:840

一、安全预

 

CAD(ComputerAidedDesign)是利用计算机及其图形设备帮助设计人员进行设计工作的简称。AutoCAD是国际最知名CAD设计软件。应用范围较广,因此威胁影响范围较大。

近期发现该木马对我国重要企业的渗透传播突然加剧,已有十家央企单位遭受攻击。

鉴于该木马背后的黑客团伙不仅有明显的窃密倾向,而且逐呈现与勒索组织和APT组织勾联的动态,请各企业网络安全部门高度重视,开展自查、清理和加固工作,避免重要设计文件失窃。


二、事件信

() 事件概要

 

事件名

CAD盗图木马

威胁类型

水坑攻击、数据窃取、勒索攻击

威胁等级

受影响的应用版本

使用AutoCAD软件的单位


 

(二) 攻击概

攻击过程如下:

1、通过社会工程学方法向攻击目标发送植入木马的CAD目文件或通过植入木马的AutoCAD破解软件下载站进行“水坑攻击”完成木马的初始化传播

 

2、利用自身复制完成注册表持久化驻留;

一旦植入木马的CAD文件被AutoCAD打开,或植入木马“破解版”AutoCAD启动,就会自动加载木马所在的恶意FA S文件,然后将自身复制到以下三个位置:

( 1)当前用户的Documents文件夹,即:

 C:\Users\JohnDoe\Documents\acad.fas

(2)AutoCAD的主Support文件夹,即:

 C:\JohnDoe\ApplicationData\Autodesk\AutoCAD2019\R23.0\e nu\Support\acad.fas

(3)AutoCAD的主ProgramFiles文件夹,即:

 C:\ProgramFiles\Autodesk\AutoCAD2019\acaddoc.fas

此后,修改注册表,将dlrdqs的环境变量存入(HKC U\Software\Autodesk\AutoCAD\R23.0\ACAD-A001:409\FixedProf ile\General)。

 

3、通过文件分享进行横向移动;

由于CAD文件往往随项目文件夹一同分享,该木马也随之传播。常见的传播途径包括U盘移动硬盘拷贝、共享文件夹、互联网网盘共享等。

 

4、与控制服务器通信完成窃密传输。

该木马会暗中通过Http协议连接到控制服务器(C2) ,其信过程采用了混淆加密方法,加密过程中使用了dqs”和“d lr”变量值、系统区域设置和实际AutoCAD构建的版本号等。以下是完整查询的示例,其中大写字母O用作分隔符

hxxp://sl.szmr.org/cj/?9c5d97bba87f468b9237c9b160c36a4314289815O102156291 O8264 O23.0s%20(LMS%20Tech)

 

(三) 危害影响

该攻击活动影响较大,攻击者会直接利用窃取工程蓝图进行间谍行为或放在暗网出售,甚至后期会针对重点目标发动勒索攻击。

 

、防范建议

 

该木马的控制服务器主要使用如下域名,各单位可通过DN S服务器日志或流量检测设备自行监测、定位受木马控制的主机,同时在互联网边界采取封堵措施

  sq.szmr.org

  sqer.szmr.org

  sl.szmr.org

  y.szmr.org

  zxb.isdun.com

建议各单位通过防病毒软件对内网主机进行木马查杀,在主机上查找并清除acad.fasacaddoc.fasacad.lspacadapp.lspacadappp.lsp等文件。

 

 

 

 


服务热线

020-85280099

办公地址

华南农业大学三角市综合楼二楼

信息中心公众号

华农小e助

版权所有

华南农业大学信息网络中心