据外媒ZDNet报道，有安全专家在最近发现了一起非常独特的恶意软件分发活动，其目标是那些在设计工作中使用AutoCAD软件的公司。

报道称，这起活动是由来自网络安全公司Forcepoint的安全专家发现的，该公司在本周早些时候向ZDNet分享了这一调查结果。从该公司提供的遥测数据来看，这起活动似乎开始于2014年，并一直活跃至今。

Forcepoint的安全专家表示，这起活动背后的黑客组织有可能非常复杂。可以确定的是他们主要对工业间谍活动感兴趣，这是因为其主要感染媒介就是AutoCAD。这是一种具有潜在高价值的软件，主要使用群体是工程师和设计师。

Forcepoint公司在其分析报告中写道：“大多数的受感染设备都位于中国、印度、土耳其和阿联酋。对C2域名的调查表明，攻击者已经成功感染了多个地区的多家公司，其中至少有一起活动可能专注于能源行业，另一个主要受影响的就是汽车行业。其次，受害者中也包含一个建筑公司，以及国家道路维护当局。”

研究人员表示，整个攻击从鱼叉式网络钓鱼电子邮件开始，这些电子邮件要么包含内嵌恶意AutoCAD文件压缩文件（ZIP文件）附件，要么包含指向用于下载ZIP文件的恶意网站链接（防止诱饵文件的大小超出标准电子邮件服务器的文件附件大小限制。）

Forcepoint的安全专家表示，鱼叉式网络钓鱼活动使用了明显已经被盗的设计图纸来作为“诱饵”，这些图纸均来自一些重大项目，如酒店、工厂建筑、甚至是港珠澳大桥（于上个月正式通车）。攻击者目的可能是为了获得更多的设计文件，要么是用于窃取知识产权，要么是通过暗网黑市出售以获取非法收益。

攻击者利用了AutoCAD的脚本自动加载功能

安全专家表示，用户之所以会受到感染，是因为他们所收到的带有AutoCAD（.cad）项目的ZIP文件也包含隐藏的Fast-Load AutoLISP（.fas）模块。

这些.fas模块相当于AutoCAD软件的脚本组件，类似于Word文件的宏。不同之处在于FAS模块使用Lisp编程语言作为其脚本，而不是使用VisualBasic或PowerShell（宏使用的首选脚本组件）。

AutoCAD软件会根据受害者的AutoCAD安装设置，在用户打开主.cad项目或任意.cad项目时自动执行这些.fas脚本模块。虽然AutoCAD软件的最新版本（2014年后发布的版本）会在执行.fas模块时弹出警告，就像Office应用程序中的宏警告一样，但大多数人通常都倾向于忽视安全警告，以尽快打开和查看主文件内容。

Forcepoint对这起活动进行了持续性的分析

“在过去的几个月里，我们跟踪并分析了大量的‘acad.fas’版本（300多个压缩文件包含了大约100多个独特的恶意模块），这看起来像是基于小型下载程序组件的扩展活动。”Forcepoint在其分析报告中写道。

安全专家表示，他们所发现的这些恶意“acad.fas”模块可能会尝试连接到C&C服务器，以下载其它的恶意软件，但是目前并不能够确定下一阶段的恶意软件会是什么。

他们还表示，这起活动背后的黑客组织似乎主要针对的就是使用AutoCAD软件的用户，因为相同的C＆C服务器IP地址在更早AutoCAD恶意软件活动中就已经被使用过。

AutoCAD用户如何来保护自己

Forcepoint建议所有AutoCAD用户请务必查看Autodesk的AutoCAD安全建议页面，以获取有关如何对AutoCAD进行安全配置，从而防范恶意模块的提示。

这个页面包含如何限制AutoCAD执行FAS和其它脚本模块配置步骤，以及其他的一些建议。比如，当受到恶意代码攻击时，如何恢复和清理AutoCAD安装。

此外，Forcepoint还警告说，该黑客组织也可能会通过包含恶意AutoCAD文件的CD/DVD或U盘的邮政包裹来传播恶意软件。虽然这种攻击方式对于许多人来说并不常见，但对于设计和工程公司来说是适用的。这主要是因为一些AutoCAD文件大小（如用于存储零件或建筑结构的渲染）很容易就达到1GB以上，通过电子邮件来发送会非常不方便，再加上许多公司会担心通过网络传输会暴露他们的专有设计，他们通常都会选择通过邮寄服务来发送他们文件。

最后需要指出的是，这并不非网络犯罪分子首次使用AutoCAD恶意软件来攻击某些特定行业的公司，早在2009年和2012年均发生过类似的事件。