新型PDFSider Windows惡意軟件瞄準金融企業(yè)實施勒索攻擊

安全研究人員最新發(fā)現，勒索軟件攻擊者在針對一家財富100強金融企業(yè)的攻擊中，使用了一種名為PDFSider的新型惡意軟件變種，旨在向 Windows 系統(tǒng)投遞惡意載荷。

攻擊者通過偽裝成技術支持人員，誘騙企業(yè)員工安裝微軟的Quick Assist（快速助手）工具，以此獲取遠程訪問權限。

安全研究人員在一次事件響應過程中發(fā)現了 PDFSider，并將其描述為一種用于長期維持訪問的隱蔽后門，指出其具備“通常與 APT攻擊手法相關的特征”。

合法EXE，惡意DLL

PDFSider 已被發(fā)現在Qilin勒索軟件攻擊中部署。然而，有威脅狩獵團隊指出，這個后門已經被“多個勒索軟件團伙積極使用”來啟動他們的載荷。

PDFSider 后門通過魚叉式釣魚郵件投遞，郵件中附帶一個 ZIP 壓縮包，內含一個來自Miron Geek Software GmbH的PDF24 Creator工具的合法、數字簽名可執(zhí)行文件（EXE）。但該安裝包中還包含了一個惡意版本的 DLL 文件（cryptbase.dll），而該應用程序正常運行恰好需要此文件。

當合法的 EXE 文件運行時，它會加載攻擊者的 DLL 文件——這是一種被稱為DLL 側加載（DLL Side-loading）的技術，從而在系統(tǒng)上實現代碼執(zhí)行。

可執(zhí)行文件的有效簽名

在其他情況下，攻擊者會利用看似針對目標定制的誘餌文檔，誘騙郵件接收者啟動惡意文件。一旦啟動，該 DLL 將以加載它的 EXE 文件的權限運行。

EXE 文件擁有合法簽名；然而，PDF24 軟件存在漏洞，攻擊者能夠利用這些漏洞加載此惡意軟件，并有效地繞過 EDR（端點檢測與響應）系統(tǒng)。

研究人員稱，由于 AI 驅動的編碼技術興起，網絡犯罪分子尋找可被利用的易受攻擊軟件變得越來越容易。

技術細節(jié)與隱蔽性

PDFSider 直接加載到內存中，幾乎不留下磁盤痕跡，并使用匿名管道通過 CMD 啟動命令。 受感染的主機被分配一個唯一標識符，系統(tǒng)信息會被收集并通過 DNS（53端口）竊取至攻擊者的 VPS 服務器。

PDFSider 利用 Botan 3.0.0加密庫和 AES-256-GCM算法來保護其命令與控制（C2）通信，在內存中解密傳入數據以最大程度減少其在主機上的足跡。

此外，數據通過 GCM 模式下的AEAD（帶有關聯(lián)數據的認證加密）進行身份驗證。這種加密實現方式是針對性攻擊中使用的遠程 Shell 惡意軟件的典型特征，在這類攻擊中，保持通信的完整性和機密性至關重要。

PDFSider 運營概述

該惡意軟件還具備多種反分析機制，例如 RAM 大小檢查和調試器檢測，以便在檢測到運行于沙箱環(huán)境時提前退出。

基于評估，研究人員表示 PDFSider 更接近于間諜活動工具，而非以經濟利益為動機的惡意軟件，它被構建為一種隱蔽的后門，能夠維持長期的秘密訪問，并提供靈活的遠程命令執(zhí)行和加密通信功能。

參考及來源：https://www.bleepingcomputer.com/news/security/new-pdfsider-windows-malware-deployed-on-fortune-100-firms-network/