概要
PDFSIDERは新たに特定されたマルウェア亜種で、DLLサイドローディングを通じて配布され、暗号化されたコマンド&コントロール(C2)機能を備えたバックドアを密かに展開するよう設計されています。本マルウェアは偽のcryptbase.dllを使用して、エンドポイント検知メカニズムを回避します。
このマルウェアは高度持続的脅威(APT)として特定されており、ステルス実行、アンチVMチェック、暗号化通信など、APTの手口に一般的に見られる特徴を示します。PDFSIDERは従来のサイバー諜報の挙動と現代的なリモートコマンド機能を融合し、オペレーターがシステム情報を収集し、シェルコマンドを密かに遠隔実行できるようにします。
解析したDLLにはBotan暗号ライブラリが完全に組み込まれており、AES-256-GCMの認証付き暗号化向けに構成されています。これは、脅威アクターが安全で体系化されたC2プロトコルを採用している強い兆候です。読み込まれると、このマルウェアは攻撃者に対して対話型の隠しコマンドシェルを提供し、暗号化チャネルを通じてコマンド出力を持ち出すことができます。
本レポートでは、マルウェアの技術的コンポーネント、実行ワークフロー、回避メカニズム、ならびに検知・対応の取り組みを支援する主要な指標を概説します。
技術詳細
1. 初期感染と配布
PDFSIDERはこのキャンペーンでスピアフィッシングメールを使用し、被害者をメッセージに添付されたZIPアーカイブへ誘導しました。ZIPアーカイブには「PDF24 App」とラベル付けされた正規のEXEファイルが含まれています。PDF24 Creatorは、任意のアプリケーションからPDFファイルを作成し、ファイルをPDF形式に変換するために使用される、Miron Geek Software GmbHのアプリケーションソフトウェアです。
感染チェーンは、被害者がEXEファイルを開くと開始します。このEXEはマシン上で実行しても表示はありませんが、実行されると直ちにマシン上で動作を開始します。
署名に使用された証明書のうち、1つは現在も有効です:
EXEファイルには正規の署名がありますが、PDF24 ソフトウェア には脆弱性があり、攻撃者はそれを悪用してこのマルウェアを読み込み、EDRシステムを効果的に回避することができました。
これは近年、AIコーディングの普及により、サイバー犯罪者が脆弱なソフトウェアを見つけて自らの目的のために悪用しやすくなっていることから、より一般的になっています。
このマルウェアは、正規アプリケーションの隣に悪意のあるDLLを配置し、アプリケーションが自動的にそれを読み込むDLLサイドローディングに依存しているようです。
被害者が正規プログラムを実行すると、PDF24.exeは実際のシステムcryptbase.dllではなく攻撃者のDLLを読み込み、コード実行を可能にします。
読み込み後、PDFSIDERはWinsockを初期化し、暗号化通信を設定し、システム情報を収集し、バックドアループを開始します。
2. メモリ内実行
PDFSIDERは主にメモリ内で動作し、ディスク上の痕跡を最小化します:
マルウェアは起動時に完全なリモートコマンド実行機能を提供し、複数の処理を行います。匿名パイプを作成し、cmd.exe /C <攻撃者が指定したコマンド>を用いてコマンド文字列を構築します。
このコマンドはCREATE_NO_WINDOWフラグで起動され、可視のコンソールが表示されないようにします。
その後、マルウェアはシステムからすべての情報を抽出し、システムから一意のIDを生成して、出力を攻撃者へ送信します。
2.2 暗号化C2データの取り扱い
マルウェアは暗号化のためにBotan 3.0.0暗号ライブラリを利用し、AES-256/GCM、GHASH、およびGCMタグ失敗のチェックなど、複数の主要コンポーネントを組み込んでいます。
これは、マルウェアが扱うすべての送受信データがメモリ内で復号され、ディスクに書き込まれないことを強く示唆します。またデータは、GCMモードにおけるAEAD(関連データ付き認証暗号)で認証され、高いセキュリティレベルを提供します。この種の暗号実装は、通信の完全性と機密性の維持が重要となる標的型攻撃で用いられるリモートシェル型マルウェアに典型的です。
3. アンチVM技術
PDFSIDERには、サンドボックス、仮想マシン(VM)、解析ラボを検出するために設計された多段階の環境検証ルーチンが備わっています。マルウェアはGlobalMemoryStatusEx関数を使用してシステムの総RAMを評価し、RAMが少ないシステム(サンドボックスや仮想環境に一般的)では早期終了をトリガーします。
さらに、デバッガの存在チェックも含まれており、制御または監視された環境でマルウェアが実行されないようにしています。
調査の過程で、ハッカーが以下の企業からVPSサーバーを借り受け、指定された場所でDNSのポート53へ暗号化データを送信するC&Cサーバーを構築していたことが判明しました。これは侵害データの持ち出しに使用されました。
PDFSIDERは、長期的な秘匿アクセス、柔軟なリモートコマンド実行、暗号化通信のために設計された堅牢かつステルス性の高いバックドアであり、金銭目的のマルウェアというより諜報の手口により整合します。
侵害指標(IOCs)
| ファイル名 | MD5ハッシュ | ステータス |
|---|---|---|
| About.dll | e0e674ec74d323e0588973aae901b5d2 | クリーン |
| Cryptbase.dll | 298cbfc6a5f6fa041581233278af9394 | 悪性 |
| Language.dll | 80e4a29270b828c1f97d9cde9475fcbd | クリーン |
| NotifyIcon.dll | 96ff508f9be007062b1770691f489e62 | クリーン |
| Pdf24.exe | a32dc85eee2e1a579199050cd1941e1d | クリーン |
| Settings.dll | 9f9dd5a432b4dde2160c7a7170e0d069 | クリーン |
C2 IP:
- 45.76.9.248
MITRE ATT&CK マッピング
| 戦術 | 技術 | PDFSIDERへのマッピング |
|---|---|---|
| 初期アクセス | T1574.002 – DLLサイドローディング | 悪意のあるcryptbase.dllが正規アプリケーションをハイジャックします。 |
| 実行 | T1059.003 – Windowsコマンドシェル | 隠しcmd.exe /Cコマンドを実行します。 |
| T1204 – ユーザー実行 | ユーザーがDLLを読み込む親実行ファイルを実行する必要があります。 | |
| 防御回避 | T1497 – 仮想化/サンドボックス回避 | CPU、RAM、タイミング、VHDブートのチェック。 |
| T1622 – デバッガ回避 | IsDebuggerPresentを使用します。 |
|
| 探索 | T1082 – システム情報探索 | ユーザー名、コンピューター名、PIDを収集します。 |
| コマンド&コントロール | T1095 – 非アプリケーション層プロトコル | AES-GCMを用いたカスタムWinsock C2。 |
| T1041 – C2チャネル経由の持ち出し | 取得したコマンド出力を暗号化チャネル経由で送信します。 | |
| 実行 | T1106 – ネイティブAPI | パイプおよびプロセス制御に低レベルのWin32 APIを使用します。 |
重要性
Resecurityは、Fortune 100企業によって成功裏に阻止されたネットワーク侵入未遂の調査中にPDFSIDERを把握しました。脅威アクターはテクニカルサポートになりすまして同社スタッフに接触し、QuickAssistを用いたソーシャルエンジニアリング手法でエンドポイントへのリモートアクセス獲得を試みました。
DLLサイドローディング技術を踏まえると、この攻撃ベクターは高度な攻撃者によってアンチウイルス(AV)およびエンドポイント検知・対応(EDR)システムを回避するために効果的に悪用され得ます。当社HUNTERチームによれば、PDFSIDERはすでに複数のランサムウェアグループによって、ペイロード配布手法として活発に利用されています。
Resecurityは、エクスプロイトベースの初期アクセスよりもDLLサイドローディングのような信頼性の高い実行手法を優先する、標的型スピアフィッシングの継続的な傾向を示している可能性があります。例えば、Acronisが特定した最近のマルウェアキャンペーンの1つでは、米国政府を標的としLOTUSLITEに帰属するとされ、米国とベネズエラ間の地政学的な物語をテーマの誘引として組み合わせた当該ベクターが悪用されました。インフラ分析と実行パターンは、配布スタイル、ローダーとDLLの分離、インフラ利用を含むMustang Pandaの手口との中程度の確度の重なりを示しています。
Trellixが特定した別のキャンペーンでは、DLLサイドローディングが用いられ、Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat、XWormなど、多種多様なマルウェアが配布されました。オープンソースのc-aresライブラリに関連する正規バイナリに存在するDLLサイドローディング脆弱性が悪用され、セキュリティ制御を回避して、幅広いコモディティ型トロイの木馬やスティーラーを配布しました。
