Une faille d’Autodesk exploitée par des pirates informatiques

Des pirates informatiques ont exploité une vulnérabilité du logiciel d’infographie 3D populaire Autodesk afin de lancer une récente attaque de cyber-espionnage contre une société internationale d’architecture et de production vidéo.

Les chercheurs ont déclaré qu’une analyse plus approfondie de l’attaque pointe vers un groupe sophistiqué de style APT qui avait une connaissance préalable des systèmes de sécurité de l’entreprise et des applications logicielles utilisées, planifiant soigneusement son attaque pour infiltrer l’entreprise et exfiltrer les données sans être détectées. La société ciblée, que les chercheurs n’ont pas nommée, est connue pour avoir collaboré à des projets immobiliers valant des milliards de dollars à New York, Londres, Australie et en Oman.

La caractéristique de l’attaque est son utilisation d’un plugin malveillant pour Autodesk 3ds Max, un programme d’infographie utilisé par les organisations d’ingénierie, d’architecture ou de jeux pour créer des animations 3D, développé par Autodesk Media and Entertainment.

«Au cours de l’enquête, les chercheurs de Bitdefender ont découvert que les pirates informatiques disposaient d’un ensemble d’outils complet offrant de puissantes capacités d’espionnage et utilisaient une vulnérabilité jusque-là inconnue dans un logiciel populaire largement utilisé en infographie 3D (Autodesk 3ds Max) pour compromettre la cible», ont déclaré les chercheurs de Bitdefender dans une analyse.

La faille d’Autodesk

La charge utile malveillante était censée être un plugin pour Autodesk 3ds Max (bien qu’ils n’aient pas dit comment les victimes ont été persuadées de télécharger le plugin). En réalité, le plugin est une variante d’un exploit MAXScript d’Autodesk 3ds Max, appelé «PhysXPluginMfx».

Cet exploit peut corrompre les paramètres du logiciel 3ds Max afin d’exécuter du code malveillant, et finalement se propager à d’autres fichiers sur un système Windows (si les fichiers contenant le script sont chargés dans 3ds Max).

Autodesk pour sa part a publié un communiqué concernant la faille plus tôt au mois d’août: «Autodesk recommande aux utilisateurs de 3ds Max de télécharger la dernière version des outils de sécurité pour Autodesk 3ds Max 2021-2015SP1 disponible dans l’Autodesk App Store pour identifier et supprimer le malware PhysXPluginMfx MAXScript».

autodesk

Dans le cas de cette campagne d’espionnage spécifique, les attaquants ont utilisé l’exploit MAXScript PhysXPluginStl pour télécharger et exécuter un fichier DLL intégré. Ce fichier agit comme un chargeur pour deux fichiers binaires .net. Ces fichiers téléchargent ensuite d’autres MAXScripts malveillants, qui collectent des informations variables sur la victime (y compris les mots de passe du navigateur Web pour Google Chrome et Firefox, des informations sur la machine et des captures d’écran), le chiffrent avec un algorithme personnalisé et masquent le résultat afin qu’il semble être contenu dans du code base64.

Dans ce cadre, les chercheurs ont découvert une multitude d’outils d’espionnage utilisés par les cybercriminels, y compris HdCrawler, qui répertorie, compresse et télécharge des fichiers spécifiques sur le serveur de commande et de contrôle et un InfoStealer, qui a la capacité de faire des captures d’écran et de collecter le nom d’utilisateur, les adresses IP des adaptateurs réseau, des informations sur le stockage et plus d’informations sur le système.

autodesk

Le niveau de sophistication des attaquants peut être vu dans la tactique délicate qu’ils ont utilisée pour contourner la détection, ont déclaré les chercheurs. Si les applications Gestionnaire de Tache ou Moniteur de Ressources sont en cours d’exécution (et que leur fenêtre respective est visible) pendant l’attaque, un indicateur est défini pour indiquer au binaire exécuté de “dormir” de plus en plus souvent (réduisant ainsi la consommation du CPU, ce qui alerterait la victime).

Bien que les attaquants aient réussi à compromettre l’entreprise ciblée, on ne connait pas l’étendu des informations qui ont été dérobées pendant la campagne.

APT à l’embauche

Ce qu’il faut retenir de la campagne est qu’elle semble avoir été lancée par des «groupes de mercenaires APT», qui sont des acteurs sophistiqués utilisant de puissants outils d’espionnage et qui offrent leurs services au plus offrant, affirment les chercheurs. Les cybercriminels de cette campagne utilisaient une infrastructure de commande et de contrôle (C2) basée en Corée du Sud.

“Les TTP révélés au cours de l’enquête indiquent un mode de fonctionnement de type APT, ce qui signifie qu’ils ont les connaissances et les compétences nécessaires pour mener des attaques coordonnées et précises contre des victimes sélectionnées”, a déclaré Arsene à Threatpost. «Couplé au fait qu’ils ont utilisé une vulnérabilité jusque-là inconnue dans un logiciel utilisé par l’entreprise, montre à la fois des capacités d’empreinte (généralement associées à des acteurs avancés qui repèrent leurs victimes à l’avance) et qu’ils ont les compétences techniques pour trouver et exploiter une telle vulnérabilité. »

Les groupes APT-à-l’embauche sont de plus en plus populaires dans le paysage des menaces. Les groupes APT StrongPity et «Dark Basin» sont tous des mercenaires APT précédemment découverts, qui auraient agi au nom de clients cherchant à discréditer ou à infiltrer des cibles de premier plan dans le secteur financier, juridique et maintenant de l’immobilier, ont déclaré les chercheurs.

«La banalisation des hackers APT disponible à l’embauche pourrait potentiellement inciter les investisseurs immobiliers de luxe rivaux impliqués dans des contrats de plusieurs milliards de dollars à rechercher ces services pour espionner leurs concurrents en infiltrant leurs sous-traitants», ont déclaré les chercheurs de Bitdefender. «L’espionnage industriel n’a rien de nouveau et, le secteur immobilier étant très compétitif, avec des contrats évalués à des milliards de dollars, les enjeux sont importants pour remporter des contrats pour des projets de luxe et pourraient justifier de se tourner vers les mercenaires APT pour obtenir un avantage de négociation. “

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x