Вредоносное ПО PDFSIDER представляет собой сложный бэкдор, позволяющий обходить современные системы обнаружения и отклика на атакующие программы (EDR). Согласно анализу, проведённому компанией Resecurity, злоумышленники распространяют это ПО через уязвимости легитимного программного обеспечения PDF, чтобы минимизировать обнаружение и обеспечить устойчивый удалённый доступ.
Извлечение и механизм атаки
Атака начинается с целевых фишинговых писем, содержащих ZIP-архивы с троянской программой, маскирующейся под приложение PDF24 Creator. При запуске пользователь получает лишь видимость безвредности, в то время как на фоне осуществляется загрузка вредоносных компонентов. Защитные механизмы обходятся благодаря боковой загрузке DLL: вредоносный cryptbase.dll загружается вместо системной библиотеки. При этом файл EXE имеет цифровую подпись, что упрощает обход подписи на основе контроля.
Опасности боковой загрузки DLL для бизнеса
Технические особенности
После запуска PDFSIDER устанавливает зашифрованные каналы связи, используя библиотеку Botan 3.0.0 и алгоритм AES-256 GCM, функционируя преимущественно в памяти для минимизации файловых артефактов. Общение проходит через AEAD-аутентификацию. Малварь инициализирует Winsock, собирает системную информацию, и запускает скрытые процессы cmd.exe. Включены проверки на наличие отладчиков и анализаторских сред, что помогает избежать обнаружения.
Рекомендации по защите
- Ограничьте выполнение исполняемых файлов и обновлений программного обеспечения.
- Проведите обучение пользователей, чтобы они были осторожны с вложениями в электронной почте и неожиданными запросами на установку ПО PDF.
- Мониторьте DNS-запросы и анализируйте паттерны зашифрованного трафика для обнаружения командного управления.
- Настройте EDR на обнаружение боковой загрузки DLL и несистемной загрузки cryptbase.dll.
