PDFSIDERマルウェアが、アンチウイルスおよびEDR防御を回避するために積極的に悪用されている

セキュリティ研究者は、エンドポイント検知・対応（EDR）システムを回避するためにDLLサイドローディングを悪用する、高度なバックドア型マルウェアの亜種「PDFSIDER」を特定しました。

この脅威は高度持続的脅威（APT）の手口を示しており、回避メカニズムと暗号化されたコマンド＆コントロール機能を組み合わせて、侵害されたシステム上で秘匿的なアクセスを維持します。

PDFSIDERの感染チェーンは、正規の証明書で署名された正当な実行ファイルを含むZIPアーカイブを配布するスピアフィッシングキャンペーンを起点としています。

ペイロードは、Miron Geek Software GmbHが開発した、PDF作成およびファイル変換に使用される生産性ソフトウェア「PDF24 Creator」を装います。

被害者がEXEファイルを実行すると、表示なしで静かに初期化され、マルウェアの感染シーケンスが開始されます。

この攻撃は、PDF24ソフトウェアにおける既知の脆弱性を指摘し、脅威アクターがDLLサイドローディングを通じて悪意のあるペイロードを展開できるようにしていました。

この手法では、正規のPDF24.exeアプリケーションの隣に悪意のあるcryptbase.dllを配置し、正規プロセスが本物のシステムライブラリではなく攻撃者のDLLを読み込むようにします。

このアプローチにより、不審なDLLインジェクションの試行を監視する従来のEDR検知メカニズムを効果的に回避します。

技術アーキテクチャ

実行に成功すると、PDFSIDERはWinsock接続を初期化し、システム情報の収集を開始します。

PDF24.exeは、実際のシステム cryptbase.dllではなく攻撃者のDLLを読み込み、コード実行を可能にします。

マルウェアは主にメモリ上で動作し、ディスク上の痕跡を最小化してフォレンジック上の可視性を低下させます。

コマンド実行はcmd.exeを中心に構築された匿名パイプを通じて行われ、CREATE_NO_WINDOWフラグにより被害者にコンソールウィンドウが表示されないようにします。

マルウェアは包括的なシステム情報を抽出し、一意のシステム識別子を生成して、収集したデータを攻撃者のインフラへ送信します。

このアーキテクチャにより、脅威アクターは対話機能を備えたリモートコマンドシェルを確立でき、任意のシェルコマンド実行と出力の持ち出しが可能になります。

重要な技術的指標として、AES-256-GCMの認証付き暗号化向けに設定された、組み込みのBotan 3.0.0暗号ライブラリが挙げられます。

マルウェアは、ガロア/カウンターモードにおけるAEAD（関連データ付き認証暗号）を実装しており、すべての送受信通信が暗号化され、かつ認証されることを保証します。

この高度な暗号実装は、脅威アクターが金銭目的のマルウェアというより、諜報活動に典型的なコマンドチャネルの完全性と機密性の維持を優先していることを示しています。

すべての機微データはメモリ上でのみ復号され、暗号化されていない痕跡がディスクに到達しないようにします。この手法は、セキュリティ監視ツールやインシデント対応者による検知を大幅に困難にします。

脅威アクターは、リースされたVPSサービスを通じてC2インフラを用意しました。このインフラは、DNSのポート53を介して暗号化された持ち出しデータを中継し、正当なDNS通信の中に悪性トラフィックを紛れ込ませます。

PDFSIDERは、サンドボックス、仮想マシン、解析ラボを検出するために設計された多段階の環境検証ルーチンを組み込んでいます。

マルウェアはGlobalMemoryStatusEx関数を利用してシステムのRAM容量を評価し、仮想環境に一般的なメモリ不足のシステムでは早期終了を引き起こします。

さらに、マルウェアはデバッガ検出メカニズムを実装しており、制御されたセキュリティ解析プラットフォームではなく、実運用環境でのみ実行されることをより確実にします。

PDFSIDERは、正規アプリケーションの悪用とメモリ常駐実行によって従来のセキュリティツールが回避され得ることを示す、高度な脅威です。

組織は、振る舞い監視、プロセス実行制御の強化、暗号に関する異常検知を実装すべきです。

このインシデントは、アプリケーションのパッチ適用と、複数の検知レイヤーを組み合わせる多層防御戦略の重要性を浮き彫りにしています。

脅威アクターは、AI駆動のコード解析ツールによってますます容易になっている正規ソフトウェアの脆弱性を引き続き悪用し、企業ネットワーク内で永続的かつ秘匿的なアクセスを維持しています。