一、安全预警

CAD(ComputerAidedDesign)是利用计算机及其图形设备帮助设计人员进行设计工作的简称。AutoCAD是国际最知名的CAD设计软件。应用范围较广，因此威胁影响范围较大。

近期发现该木马对我国重要企业的渗透传播突然加剧，已有数十家央企单位遭受攻击。

鉴于该木马背后的黑客团伙不仅有明显的窃密倾向，而且逐步呈现与勒索组织和APT组织勾联的动态，请各企业网络安全部门高度重视，开展自查、清理和加固工作，避免重要设计文件失窃。

二、事件信息

(一) 事件概要

(二) 攻击概述

攻击过程如下：

1、通过社会工程学方法向攻击目标发送植入木马的CAD项目文件或通过植入木马的AutoCAD破解软件下载站进行“水坑攻击”完成木马的初始化传播。

2、利用自身复制完成注册表持久化驻留；

一旦植入木马的CAD文件被AutoCAD打开，或植入木马的“破解版”AutoCAD启动，就会自动加载木马所在的恶意FA S文件，然后将自身复制到以下三个位置：

( 1)当前用户的Documents文件夹，即：

C:\Users\JohnDoe\Documents\acad.fas

(2)AutoCAD的主Support文件夹，即：

C:\JohnDoe\ApplicationData\Autodesk\AutoCAD2019\R23.0\e nu\Support\acad.fas

(3)AutoCAD的主ProgramFiles文件夹，即：

C:\ProgramFiles\Autodesk\AutoCAD2019\acaddoc.fas

此后，修改注册表，将“dlr”和“dqs”的环境变量存入(HKC U\Software\Autodesk\AutoCAD\R23.0\ACAD-A001:409\FixedProf ile\General)。

3、通过文件分享进行横向移动；

由于CAD文件往往随项目文件夹一同分享，该木马也随之传播。常见的传播途径包括U盘移动硬盘拷贝、共享文件夹、互联网网盘共享等。

4、与控制服务器通信完成窃密传输。

该木马会暗中通过Http协议连接到控制服务器(C2) ，其通信过程采用了混淆加密方法，加密过程中使用了“dqs”和“d lr”变量值、系统区域设置和实际AutoCAD构建的版本号等。以下是完整查询的示例，其中大写字母“O”用作分隔符：

hxxp://sl.szmr.org/cj/?9c5d97bba87f468b9237c9b160c36a43142898157O102156291O8264O23.0s%20(LMS%20Tech)

(三) 危害影响

该攻击活动影响较大，攻击者会直接利用窃取工程蓝图进行间谍行为或放在暗网出售，甚至后期会针对重点目标发动勒索攻击。

三、防范建议

该木马的控制服务器主要使用如下域名，各单位可通过DN S服务器日志或流量检测设备自行监测、定位受木马控制的主机，同时在互联网边界采取封堵措施。

sq.szmr.org

sqer.szmr.org

sl.szmr.org

y.szmr.org

zxb.isdun.com

建议各单位通过防病毒软件对内网主机进行木马查杀，在主机上查找并清除acad.fas、acaddoc.fas、acad.lsp、acadapp.lsp、acadappp.lsp等文件。