Το PDFSIDER είναι μια νέα κερκόπορτα που εκτέθηκε πρόσφατα που δίνει στους εισβολείς μακροπρόθεσμο έλεγχο των συστημάτων των Windows, ενώ ξεφεύγουν από πολλά εργαλεία εντοπισμού και απόκρισης προστασίας από ιούς και τελικών σημείων.
Χρησιμοποιεί αξιόπιστο λογισμικό και ισχυρή κρυπτογράφηση για να κρύψει την παρουσία του, επιτρέποντας στους εισβολείς να εκτελούν εντολές, να μελετούν το δίκτυο και να κινούνται βαθύτερα μέσα σε στοχευμένα περιβάλλοντα.
Η καμπάνια πίσω από το PDFSIDER βασίζεται στο εστιασμένο spear phishing. Τα θύματα λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου που παραδίδουν ένα αρχείο ZIP που περιέχει ένα νόμιμο εκτελέσιμο αρχείο PDF24 Creator, υπογεγραμμένο με έγκυρο πιστοποιητικό, μαζί με άλλα συνοδευτικά αρχεία.
.webp.jpeg "Κακόβουλο λογισμικό PDFSIDER που χρησιμοποιείται ενεργά από παράγοντες απειλών για την παράκαμψη συστημάτων προστασίας από ιούς και EDR")
Όταν ο χρήστης εκκινεί την αξιόπιστη εφαρμογή, ενεργοποιείται ένα κρυφό ωφέλιμο φορτίο αντί για οποιοδήποτε προφανές πρόγραμμα προβολής εγγράφων, ξεκινώντας την παραβίαση χωρίς σχεδόν καθόλου ορατά σημάδια.
Αναλυτές ασφαλείας αναγνωρισθείς PDFSIDER κατά τη διάρκεια μιας απόπειρας εισβολής σε μια επιχείρηση του Fortune 100 που διακόπηκε πριν συμβεί απώλεια δεδομένων.
.webp.jpeg "Κακόβουλο λογισμικό PDFSIDER που χρησιμοποιείται ενεργά από παράγοντες απειλών για την παράκαμψη συστημάτων προστασίας από ιούς και EDR")
Η έρευνά τους έδειξε ότι το κακόβουλο λογισμικό χρησιμοποιείται ήδη από πολλές ομάδες ransomware και προηγμένους παράγοντες ως αξιόπιστο φορτωτή ωφέλιμου φορτίου που μπορεί να γλιστρήσει γύρω από τα τυπικά στοιχεία ελέγχου ασφαλείας.
Ο σχεδιασμός του εργαλείου ταιριάζει περισσότερο με την κατασκοπεία παρά με τη συντριβή και την αρπαγή εγκλήματος.
Επιπτώσεις στους αμυντικούς
Ο αντίκτυπος στους αμυντικούς είναι σοβαρός επειδή το PDFSIDER συνδυάζει μια έγκυρη εφαρμογή, ένα ψεύτικο Windows cryptbase.dll και κρυπτογραφημένη κίνηση εντολών και ελέγχου μέσω της θύρας DNS 53.
.webp.jpeg "Κακόβουλο λογισμικό PDFSIDER που χρησιμοποιείται ενεργά από παράγοντες απειλών για την παράκαμψη συστημάτων προστασίας από ιούς και EDR")
Λειτουργώντας κυρίως στη μνήμη, ελέγχοντας για εικονικές μηχανές και προγράμματα εντοπισμού σφαλμάτων και αποφεύγοντας τις θορυβώδεις αλυσίδες εκμετάλλευσης, καθιστά την παραδοσιακή ανίχνευση βάσει υπογραφών και τη δοκιμή sandbox πολύ λιγότερο αποτελεσματική.
Η ροή μόλυνσης ξεκινά όταν το θύμα εκτελεί το εκτελέσιμο αρχείο PDF24 με trojanized από το αρχείο που παραδόθηκε. Στον ίδιο φάκελο, οι εισβολείς τοποθετούν ένα κακόβουλο cryptbase.dll που καταχράται τους κανόνες φόρτωσης της πλευράς DLL, έτσι το πρόγραμμα φορτώνει τη βιβλιοθήκη τους αντί για το πραγματικό αρχείο συστήματος.
Μόλις φορτωθεί, το PDFSIDER προετοιμάζει το Winsock, συλλέγει λεπτομέρειες συστήματος, δημιουργεί ένα μοναδικό αναγνωριστικό κεντρικού υπολογιστή και ρυθμίζει έναν βρόχο backdoor στη μνήμη.
Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί ανώνυμους αγωγούς και εκκινεί μια κρυφή διαδικασία cmd.exe χρησιμοποιώντας τη σημαία CREATE_NO_WINDOW.
Οποιεσδήποτε εντολές αποστέλλονται από τους χειριστές εκτελούνται χωρίς παράθυρο κονσόλας και η έξοδος καταγράφεται και αποστέλλεται πίσω μέσω ενός κρυπτογραφημένου καναλιού AES 256 GCM που τροφοδοτείται από τη βιβλιοθήκη Botan.
Επειδή όλη η κίνηση προστατεύεται ισχυρά και δεν γράφεται ποτέ στο δίσκο, τα εργαλεία ασφαλείας βλέπουν μόνο αιτήματα DNS με κανονική εμφάνιση, ενώ οι εισβολείς απολαμβάνουν τον πλήρη απομακρυσμένο έλεγχο φλοιού.
