金融セクターの企業を襲ったPDFSiderマルウェア
金融セクターのFortune 100企業を標的としたランサムウェア攻撃で、新たなマルウェア「PDFSider」がWindowsシステムに悪意のあるペイロードを送り込むために使用されました。攻撃者は、テクニカルサポート担当者になりすまし、従業員にMicrosoftのQuick Assistツールをインストールさせるソーシャルエンジニアリングを駆使して、リモートアクセスを獲得しようとしました。
サイバーセキュリティ企業Resecurityの研究者は、インシデント対応中にPDFSiderを発見しました。彼らはこれを、長期的なアクセスを目的としたステルス性のバックドアであり、APT (高度な持続的脅威) の手口と共通の特徴を持つと説明しています。
DLLサイドローディングによる巧妙な侵入手口
Resecurityの広報担当者がBleepingComputerに語ったところによると、PDFSiderはQilinランサムウェア攻撃で展開されているのが確認されています。しかし、同社の脅威ハンティングチームは、このバックドアがすでに複数のランサムウェアアクターによってペイロードの起動に「積極的に使用されている」と指摘しています。
PDFSiderバックドアは、スピアフィッシングメールを通じて配信されます。メールにはZIPアーカイブが添付されており、その中にはMiron Geek Software GmbHのPDF24 Creatorツールの、正規のデジタル署名付き実行ファイルが含まれています。しかし、このパッケージには、アプリケーションが機能するために必要なDLL(
Resecurityは、「EXEファイルは正規の署名を持っていますが、PDF24ソフトウェアには攻撃者がこのマルウェアをロードし、EDRシステムを効果的に回避するために悪用できる脆弱性があります」と説明しています。研究者によると、AIを活用したコーディングの台頭により、攻撃者が悪用できる脆弱なソフトウェアを見つけることは容易になっているとのことです。
メモリ常駐型と高度なC2通信
PDFSiderはメモリに直接ロードされ、ディスク上の痕跡を最小限に抑えます。また、匿名パイプを使用してCMD経由でコマンドを起動します。感染したホストには一意の識別子が割り当てられ、システム情報が収集され、DNS(ポート53)を介して攻撃者のVPSサーバーに送られます。
PDFSiderは、Botan 3.0.0暗号ライブラリとAES-256-GCMを使用してコマンド&コントロール(C2)通信を保護し、受信データをメモリ内で復号化することで、ホスト上のフットプリントを最小限に抑えます。さらに、データはGCMモードの認証付き暗号化(AEAD)を使用して認証されます。Resecurityは、「この種の暗号実装は、通信の完全性と機密性を維持することが重要な、標的型攻撃で使用されるリモートシェルマルウェアに典型的です」と述べています。
巧妙なアンチ分析機能とAPTとの関連性
このマルウェアは、RAMサイズチェックやデバッガー検出などの複数のアンチ分析メカニズムを備えており、サンドボックスで実行されている兆候を検出すると早期に終了します。Resecurityの評価に基づくと、PDFSiderは「金銭目的のマルウェアというよりもスパイ活動の手口」に近く、長期的な隠密アクセスと柔軟なリモートコマンド実行、暗号化された通信を提供するステルスバックドアとして構築されているとされています。