El laboratorio de inteligencia de amenazas cibernéticas de Bitdefender descubrió otra instancia de un ataque de espionaje dirigido a una compañía internacional de producción de arquitectura y vídeo sin nombre que tenía todas las señas de identidad de una campaña cuidadosamente orquestada.
«El grupo cibernético se infiltró en la empresa utilizando un plugin contaminado y especialmente diseñado para Autodesk 3ds Max», dijeron los investigadores de Bitdefender en un informe publicado hoy.
«La investigación también encontró que la infraestructura de Comando y Control utilizada por el grupo cibernético para probar su carga maliciosa contra la solución de seguridad de la organización, se encuentra en Corea del Sur.»
Aunque ha habido casos anteriores de grupos mercenarios de APT como Dark Basin y Deceptikons (también conocido como DeathStalker) dirigidos al sector financiero y legal, esta es la primera vez que un actor de amenazas ha empleado el mismo modus operandi para la industria inmobiliaria.
El mes pasado, se encontró una campaña similar, llamada StrongPity, utilizando instaladores de software contaminados como cuentagotas para introducir una puerta trasera para la exfiltración de documentos.
«Es probable que esto se convierta en la nueva normalidad en términos de mercantilización de los grupos de APT, no sólo actores patrocinados por el Estado, sino por cualquiera que busque sus servicios para beneficio personal, en todas las industrias», dijo la firma de ciberseguridad.
Uso de un plugin Tainted Autodesk 3ds Max
En un aviso publicado a principios de este mes, Autodesk advirtió a los usuarios acerca de una variante de «PhysXPluginMfx» MAXScript explotar que puede corromper la configuración de 3ds Max, ejecutar código malicioso, y propagar a otros archivos MAX en un sistema Windows al cargar los archivos infectados en el software.
Pero según el análisis forense de Bitdefender, este sketchy MAXScript Encrypted sample («PhysXPluginStl.mse») contenía un archivo DLL incrustado, que posteriormente pasó a descargar binarios adicionales de .NET desde el servidor de C&C con el objetivo final de robar documentos importantes.
Los binarios, a su vez, son responsables de descargar otros MAXScript maliciosos capaces de recopilar información sobre la máquina comprometida y exfiltrar los detalles al servidor remoto, que transmite una carga útil final que puede capturar capturas de pantalla y recopilar contraseñas de navegadores web como Firefox, Google Chrome e Internet
Explorer.
Además de emplear un mecanismo de sueño para estar bajo el radar y evadir la detección, los investigadores de Bitdefender también encontraron que los autores de malware tenían todo un conjunto de herramientas para espiar a sus víctimas, incluyendo un binario «HdCrawler», cuyo trabajo es enumerar y cargar archivos con extensiones específicas (.webp, .jpg, .png, .zip, .obb, .uasset, etc.) al servidor, y un info-stealer con características extensas.
La información acumulada por el ladrón va desde el nombre de usuario, el nombre del equipo, las direcciones IP de los adaptadores de red, Windows ProductName, la versión de .NET Framework, los procesadores (número de núcleos, la velocidad y otra información), la RAM total y gratuita disponible, los detalles de almacenamiento de los nombres de los procesos que se ejecutan en el sistema, los archivos configurados para iniciarse automáticamente después de un arranque y la lista de archivos recientes a los que se accede.
Los datos de telemetría de Bitdefender también encontraron otras muestras de malware similares que se comunican con el mismo servidor de C&C, que datan de hace poco menos de un mes, lo que sugiere que el grupo se dirige a otras víctimas.
Se recomienda que los usuarios de 3ds Max descarguen la última versión de Security Tools for Autodesk 3ds Max 2021-2015SP1 para identificar y eliminar el malware PhysXPluginMfx MAXScript.
«La sofisticación del ataque revela un grupo al estilo APT que tenía conocimiento previo de los sistemas de seguridad de la compañía y utilizaba aplicaciones de software, planificando cuidadosamente su ataque para infiltrarse en la empresa y exfiltrar datos sin ser detectados», dijeron los investigadores.
«El espionaje industrial no es nada nuevo y, dado que la industria inmobiliaria es altamente competitiva, con contratos valorados en miles de millones de dólares, las apuestas son altas para ganar contratos para proyectos de lujo y podrían justificar recurrir a grupos mercenarios de APT para obtener una ventaja de negociación».