对于APT组织来说，通过网络间谍活动来获取利益是一回事。但当他们被私人公司用作“受雇黑客”，窃取机密信息时，情况就完全不同了。

Bitdefender的网络威胁情报实验室又发现了一起针对一家主要业务为国际建筑和视频制作公司的间谍攻击，在该公司发现了明显的攻击特征。

Bitdefender的研究人员在今天发布的一份报告中说:“这个网络犯罪集团使用了一个污染的、专门为Autodesk 3ds Max制作的插件来渗透该公司。”

虽然之前也有过类似的雇佣军组织，如“Dark Basin 和 Deceptikons (aka DeathStalker) “针对金融和法律部门的例子，但这是第一次在房地产行业发现的严重威胁行为。

使用污染的Autodesk 3ds Max插件

在本月早些时候发布的一份报告中，Autodesk警告用户警惕一种名为“PhysXPluginMfx”的MAXScript漏洞，该漏洞可以破坏3ds Max的设置，运行恶意代码，并在将受感染的文件加载到该软件时传播到Windows系统中的其他Max文件。

但是根据Bitdefender的分析，这个MAXScript加密样本(“PhysXPluginStl.mse”)包含了一个嵌入的DLL文件，该文件随后从C&C服务器下载了额外的.net二进制文件，其最终目的是窃取重要文件。

而二进制文件则负责下载其他恶意的maxscript，这些maxscript能够收集关于受损机器的信息，并将详细信息泄露给远程服务器，远程服务器会传送最终的有效负载，以捕获屏幕截图并从Firefox、谷歌Chrome和Internet Explorer等web浏览器收集密码。

除了利用睡眠机制隐藏雷达和逃避检测，Bitdefender的研究人员还发现恶意软件的作者有一个完整的工具集来监视它的受害者，包括一个“HdCrawler”二进制文件，它的工作是枚举和上传带有特定扩展名的文件。.jpg， .png， .zip， .obb， .uasset等)到服务器，以及一个具有广泛功能的信息窃取器。 偷窃者范围从用户名,计算机名,网络适配器的IP地址,Windows ProductName,版本的。net框架,处理器(数量的核心,速度,和其他信息)等等。 由于房地产行业竞争激烈，合同价值数十亿美元，赢得豪华项目合同的风险很高，因此有理由求助于唯利是图的团体，以获得谈判优势，未来可能会愈演愈烈。 建议3ds Max用户下载最新版本的Autodesk 3ds Max 2021-2015SP1安全工具，检测并删除PhysXPluginMfx MAXScript恶意软件。

参考来源：

hackernews