安全公告
关于CAD盗图木马的紧急预警
一、安全预警
CAD(ComputerAidedDesign)是利用计算机及其图形设备帮助设计人员进行设计工作的简称。AutoCAD是国际最知名的CAD设计软件。应用范围较广,因此威胁影响范围较大。
近期发现该木马对我国重要企业的渗透传播突然加剧,已有数十家央企单位遭受攻击。
鉴于该木马背后的黑客团伙不仅有明显的窃密倾向,而且逐步呈现与勒索组织和APT组织勾联的动态,请各企业网络安全部门高度重视,开展自查、清理和加固工作,避免重要设计文件失窃。
二、事件信息
(一) 事件概要
事件名称 | CAD盗图木马 | ||
威胁类型 | 水坑攻击、数据窃取、勒索攻击 | 威胁等级 | 高 |
受影响的应用版本 | |||
使用AutoCAD软件的单位 |
(二) 攻击概述
攻击过程如下:
1、通过社会工程学方法向攻击目标发送植入木马的CAD项目文件或通过植入木马的AutoCAD破解软件下载站进行“水坑攻击”完成木马的初始化传播。
2、利用自身复制完成注册表持久化驻留;
一旦植入木马的CAD文件被AutoCAD打开,或植入木马的“破解版”AutoCAD启动,就会自动加载木马所在的恶意FA S文件,然后将自身复制到以下三个位置:
( 1)当前用户的Documents文件夹,即:
C:\Users\JohnDoe\Documents\acad.fas
(2)AutoCAD的主Support文件夹,即:
C:\JohnDoe\ApplicationData\Autodesk\AutoCAD2019\R23.0\e nu\Support\acad.fas
(3)AutoCAD的主ProgramFiles文件夹,即:
C:\ProgramFiles\Autodesk\AutoCAD2019\acaddoc.fas
此后,修改注册表,将“dlr”和“dqs”的环境变量存入(HKC U\Software\Autodesk\AutoCAD\R23.0\ACAD-A001:409\FixedProf ile\General)。
3、通过文件分享进行横向移动;
由于CAD文件往往随项目文件夹一同分享,该木马也随之传播。常见的传播途径包括U盘移动硬盘拷贝、共享文件夹、互联网网盘共享等。
4、与控制服务器通信完成窃密传输。
该木马会暗中通过Http协议连接到控制服务器(C2) ,其通信过程采用了混淆加密方法,加密过程中使用了“dqs”和“d lr”变量值、系统区域设置和实际AutoCAD构建的版本号等。以下是完整查询的示例,其中大写字母“O”用作分隔符:
hxxp://sl.szmr.org/cj/?9c5d97bba87f468b9237c9b160c36a43142898157 O102156291 O8264 O23.0s%20(LMS%20Tech)
(三) 危害影响
该攻击活动影响较大,攻击者会直接利用窃取工程蓝图进行间谍行为或放在暗网出售,甚至后期会针对重点目标发动勒索攻击。
三、防范建议
该木马的控制服务器主要使用如下域名,各单位可通过DN S服务器日志或流量检测设备自行监测、定位受木马控制的主机,同时在互联网边界采取封堵措施。
sq.szmr.org
sqer.szmr.org
sl.szmr.org
y.szmr.org
zxb.isdun.com
建议各单位通过防病毒软件对内网主机进行木马查杀,在主机上查找并清除acad.fas、acaddoc.fas、acad.lsp、acadapp.lsp、acadappp.lsp等文件。