背景
AutoCAD是一种商业计算机辅助设计(CAD)和绘图软件应用程序,由于其应用领域广泛,软件经专业人员应用设计后产出的成果价值巨大,引起了攻击者的关注。攻击者针对该软件开发窃密木马,使用软件特有的编程语言AutoLisp编写。该语言是Lisp语言的一种特有方言,专门用于AutoCAD软件的扩展。
最早的AutoCAD木马发现于2008年,当时使用邮箱传递窃取的数据。对于2022年6月的攻击活动,目前仅捕获到初始样本,C2地址已失效。从初始样本分析上看,攻击者利用AutoLisp语言编写木马,实现了信息收集、信息回传、远程下载并执行和持久化驻留等功能。从威胁分析看,不排除攻击者会在后续过程中窃取其他信息,投放勒索软件或窃密木马;从回传的信息看,通过回传目标系统时间、区域代码、AutoCAD版本,不排除攻击者依据这些信息开展针对性的攻击。