近期，APT黑客组织利用传统3D计算机图形Autodesk软件中的一个漏洞，开始对国际建筑和视频创作公司的系统进行新的网络间谍攻击。

研究人员已经检测到了这个漏洞，并确认了是一个未知的黑客组织将恶意软件隐藏在3Ds Max插件中，攻击了来自世界各地的企业。

该组织通过使用一个用于Autodesk 3ds Max软件的恶意插件进行间谍活动。而且经确定，APT雇佣组织还向出价最高者提供帮助，扩大针对目标受害者的复杂攻击和网络间谍工具。 

目标

根据该报告，威胁参与者始终以与房地产开发商合作的公司为目标，他们来自以下国家：

· 美国

· 英国

· 阿曼

· 南韩

· 日本 

· 南非

主要发现

专家宣布了此漏洞中检测到的一些关键问题，下面将在此处进行提及：

· 潜在的APT雇佣组织可用于工业网络间谍活动

· 从事间谍活动的房地产企业

· 伪装成现代3D计算机图形软件的插件 

· 针对公司的安全性进行测试的有效负载可避免在交付时泄露信息

· 总部位于韩国

黑客将恶意插件隐藏在Autodesk 3ds Max软件中

Autodesk通知用户有关“ PhysXPluginMfx” MAXScript漏洞的变体，该变体很容易损坏3ds Max的设置。因为它可以运行恶意代码，并在将受感染的文件放入软件后将其传送到Windows系统上的其他MAX文件。

但是，窃取者收集的数据因用户名、计算机名、网络适配器的IP地址、Windows产品名、.NET Framework的变体、处理器而不同。

3ds Max用户，请下载Autodesk 3ds Max 2021-2015SP1的最高级安全工具版本，以识别和消除PhysPluginMFX MAXScript恶意软件。

因此，专家们断言，对攻击的改进使APT组织的风格暴露出来，他们事先了解公司的安全系统，并使用软件应用程序（尤其是计划攻击的软件）攻击组织并过滤未检测到的数据。

该恶意软件中使用的工具是：

HdCrawler：此工具的主要作用是列出，撰写和维护特定文件的完整列表。

InfoStealer：此工具的主要作用或功能是收集信息，评分限制，捕获屏幕以及与计算机上的特定用户建立联系。

使用扩展名

· “ .zip”

· “ .rar”

· “ .alz”

· “ .7z”

· “ .mp4”

· “ .flv”

· “ .webm”

· “ .webp”

· “ .jpg”

· “ .jpeg”

· “ .png”

· “ .avi”

· “ .mkv”

· “ .mp3”

· “ .mpeg”

· “ .mpg”

· “ .apk”

· “ .obb”

· “ .pur”

· “ .uasset”

除此之外，攻击中应用了命令和控制（C＆C）基础，并且所有详细信息都已由网络安全公司分类。 

但该公司还没有分享任何其他关于这一归属的信息，而这个漏洞却在默默地执行着它的操作。由于涵盖了恶意二进制文件，因此任务管理器或性能监视器在后台运行。

妥协指标

文件哈希：

•04715dd5b4e4e4e452d86f2c874ea9e6ad916f17838f116c8ab4ccfc7b9b6657 

•1c2f754045bc442cf5147dadccd1ff3c8e58205362e1940c3f1f87ab303006a5 

•A32f5e65051eb95d0ccdcc899d45f56369659a6edea068da5e59951f4c903f7b 

•C75fcb34a5b35b6b73191de3f342806d3cce5a446c64f55fb3423f0cd5dbe248 

•2d934a705638acd3fcb44f66a9a1633c27231550113f20df6061c10b1a6e9f6 

•d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa 

2b394c330949c85097f13eded38f08b358d399b7615bbe3659dd9d82ec82675c 

•A16b2c6a60975e4def1f799c69f7f38064653b5a99bc577fc008f0a808c7bc62 

•E16a5847ac62bb4d5a661863fd5dba5201d27784e280aeee25a34702ed4c1528 

•C2f51b2c116bcc9c95dbf567a90ec4fe0f5fbddb066a6d3cdf814295838e00f8

•D3a38047c207dee4b09d607a568390306f76025cd6986ec3e7c3fbd21a231d0e 

•37ea55d1dceb467c595299f0f19a68d5530015b6d9c7ed5cc16324f52773e536 

•711d45ff150aa734771fec1c08e394118a7bcd015dacac8889c965aeabfc7c9d 

•07cebf1d377b9d28e53b7139a56e632e19c8f53e07546298f180322d462512e3 

•536ef8065ded253465d6a5a967dafdcb2d158a7ea3157f0b265788745ed38409 

•9e4ba32d42f26b7b3bb24ec786992ed017318a4074b2e141ad0f4a05435f4862 

文件名：

•PhysXPluginStl.mse 

•fixAll.mse 

•default.mse 

•％LOCALAPPDATA％\微软\的Internet Explorer \ MSWINTAP.DAT 

•％LOCALAPPDATA％\微软\的Internet Explorer \ MSWINSIG.DAT 

•％LOCALAPPDATA％\ Microsoft \ Internet Explorer \ ie4uRidd.dat 

URL：

•hxxp：//175.197.40 [。] 61：3445 / eYOMAHg

•hxxp：//175.197.40 [。] 61：3445 / YkSxBJVz 

•hxxp：//175.197.40 [。] 61：3445 / n 

•hxxp：//175.197.40 [。] 61：3445 / r 

•hxxp ：//175.197.40 [。] 61：3445 / l 

•hxxp：//175.197.40 [。] 61：3445 / b 

•hxxp：//175.197.40 [。] 61：3445 / TYEHVSjn2Ny 

•hxxp：/ /175.197.40[.]61:3445/grhL1wCYAhf•hxxp：//175.197.40 

[。] 61：3445 / Public / Find_Alc 

•hxxp：//175.197.40 [。] 61：3445 // Public / Find_Crp 

• hxxp：//175.197.40 [。] 61：3445 / FRNuzqJIZyb 

•hxxp：//175.197.40 [。] 61：3445 / Public / fixAll 

•hxxp：//175.197.40 [。] 61：3445 / Public / NlWuLNUDzqM 

C＆C IP地址：

•175 [。] 197 [。] 40 [。] 61

本文翻译自：​https://gbhackers.com/apt-hackers-using-malicious-autodesk-3ds-max-software-plugin/如若转载，请注明原文地址