也許每個人出生的時候都以為這世界都是為他一個人而存在的,當他發現自己錯的時候,他便開始長大
少走了彎路,也就錯過了風景,無論如何,感謝經曆
更多關于Android安全的知識,可前往:https://blog.csdn.net/ananasorangey/category11955914.html
本篇文章轉載:https://www.4hou.com/index.php/posts/Npoz
導語:近期,APT黑客組織利用傳統3D計算機圖形Autodesk軟體中的一個漏洞,開始對國際建築和視訊創作公司的系統進行新的網絡間諜攻擊。
近期,APT黑客組織利用傳統3D計算機圖形Autodesk軟體中的一個漏洞,開始對國際建築和視訊創作公司的系統進行新的網絡間諜攻擊。
研究人員已經檢測到了這個漏洞,并确認了是一個未知的黑客組織将惡意軟體隐藏在3Ds Max插件中,攻擊了來自世界各地的企業。
該組織通過使用一個用于Autodesk 3ds Max軟體的惡意插件進行間諜活動。而且經确定,APT雇傭組織還向出價最高者提供幫助,擴大針對目标受害者的複雜攻擊和網絡間諜工具。
目标
根據該報告,威脅參與者始終以與房地産開發商合作的公司為目标,他們來自以下國家:
· 美國
· 英國
· 阿曼
· 南韓
· 日本
· 南非
主要發現
專家宣布了此漏洞中檢測到的一些關鍵問題,下面将在此處進行提及:
· 潛在的APT雇傭組織可用于工業網絡間諜活動
· 從事間諜活動的房地産企業
· 僞裝成現代3D計算機圖形軟體的插件
· 針對公司的安全性進行測試的有效負載可避免在傳遞時洩露資訊
· 總部位于南韓
黑客将惡意插件隐藏在Autodesk 3ds Max軟體中
Autodesk通知使用者有關“ PhysXPluginMfx” MAXScript漏洞的變體,該變體很容易損壞3ds Max的設定。因為它可以運作惡意代碼,并在将受感染的檔案放入軟體後将其傳送到Windows系統上的其他MAX檔案。
但是,竊取者收集的資料因使用者名、計算機名、網絡擴充卡的IP位址、Windows産品名、.NET Framework的變體、處理器而不同。
3ds Max使用者,請下載下傳Autodesk 3ds Max 2021-2015SP1的最進階安全工具版本,以識别和消除PhysPluginMFX MAXScript惡意軟體。
是以,專家們斷言,對攻擊的改進使APT組織的風格暴露出來,他們事先了解公司的安全系統,并使用軟體應用程式(尤其是計劃攻擊的軟體)攻擊組織并過濾未檢測到的資料。
該惡意軟體中使用的工具是:
HdCrawler:此工具的主要作用是列出,撰寫和維護特定檔案的完整清單。
InfoStealer:此工具的主要作用或功能是收集資訊,評分限制,捕獲螢幕以及與計算機上的特定使用者建立聯系。
使用擴充名
· “ .zip”
· “ .rar”
· “ .alz”
· “ .7z”
· “ .mp4”
· “ .flv”
· “ .webm”
· “ .webp”
· “ .jpg”
· “ .jpeg”
· “ .png”
· “ .avi”
· “ .mkv”
· “ .mp3”
· “ .mpeg”
· “ .mpg”
· “ .apk”
· “ .obb”
· “ .pur”
· “ .uasset”
除此之外,攻擊中應用了指令和控制(C&C)基礎,并且所有詳細資訊都已由網絡安全公司分類。
但該公司還沒有分享任何其他關于這一歸屬的資訊,而這個漏洞卻在默默地執行着它的操作。由于涵蓋了惡意二進制檔案,是以任務管理器或性能螢幕在背景運作。
妥協名額
檔案哈希:
•04715dd5b4e4e4e452d86f2c874ea9e6ad916f17838f116c8ab4ccfc7b9b6657
•1c2f754045bc442cf5147dadccd1ff3c8e58205362e1940c3f1f87ab303006a5
•A32f5e65051eb95d0ccdcc899d45f56369659a6edea068da5e59951f4c903f7b
•C75fcb34a5b35b6b73191de3f342806d3cce5a446c64f55fb3423f0cd5dbe248
•2d934a705638acd3fcb44f66a9a1633c27231550113f20df6061c10b1a6e9f6
•d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa
2b394c330949c85097f13eded38f08b358d399b7615bbe3659dd9d82ec82675c
•A16b2c6a60975e4def1f799c69f7f38064653b5a99bc577fc008f0a808c7bc62
•E16a5847ac62bb4d5a661863fd5dba5201d27784e280aeee25a34702ed4c1528
•C2f51b2c116bcc9c95dbf567a90ec4fe0f5fbddb066a6d3cdf814295838e00f8
•D3a38047c207dee4b09d607a568390306f76025cd6986ec3e7c3fbd21a231d0e
•37ea55d1dceb467c595299f0f19a68d5530015b6d9c7ed5cc16324f52773e536
•711d45ff150aa734771fec1c08e394118a7bcd015dacac8889c965aeabfc7c9d
•07cebf1d377b9d28e53b7139a56e632e19c8f53e07546298f180322d462512e3
•536ef8065ded253465d6a5a967dafdcb2d158a7ea3157f0b265788745ed38409
•9e4ba32d42f26b7b3bb24ec786992ed017318a4074b2e141ad0f4a05435f4862
檔案名:
•PhysXPluginStl.mse
•fixAll.mse
•default.mse
•%LOCALAPPDATA%\微軟\的Internet Explorer \ MSWINTAP.DAT
•%LOCALAPPDATA%\微軟\的Internet Explorer \ MSWINSIG.DAT
•%LOCALAPPDATA%\ Microsoft \ Internet Explorer \ ie4uRidd.dat
URL:
•hxxp://175.197.40 [。] 61:3445 / eYOMAHg
•hxxp://175.197.40 [。] 61:3445 / YkSxBJVz
•hxxp://175.197.40 [。] 61:3445 / n
•hxxp://175.197.40 [。] 61:3445 / r
•hxxp ://175.197.40 [。] 61:3445 / l
•hxxp://175.197.40 [。] 61:3445 / b
•hxxp://175.197.40 [。] 61:3445 / TYEHVSjn2Ny
•hxxp:/ /175.197.40[.]61:3445/grhL1wCYAhf•hxxp://175.197.40
[。] 61:3445 / Public / Find_Alc
•hxxp://175.197.40 [。] 61:3445 // Public / Find_Crp
• hxxp://175.197.40 [。] 61:3445 / FRNuzqJIZyb
•hxxp://175.197.40 [。] 61:3445 / Public / fixAll
•hxxp://175.197.40 [。] 61:3445 / Public / NlWuLNUDzqM
C&C IP位址:
•175 [。] 197 [。] 40 [。] 61
你以為你有很多路可以選擇,其實你隻有一條路可以走