一般的なオフィスツールを悪用してバックドアを作成する、新たなサイバーセキュリティ上の脅威が発見されました。PDFSIDERとして知られるこのマルウェアは、Fortune 100企業が自社ネットワークへの侵入未遂を阻止した後、調査会社Resecurityによって最近特定されました。
Hackread.comと共有されたこの調査により、最新のセキュリティシステムを回避するよう設計された、非常に組織的なキャンペーンの実態が明らかになりました。
正規ソフトウェアがどのように悪用されているのか
攻撃は、被害者をだましてZIPファイルをダウンロードさせる、高度に標的化されたメッセージであるスピアフィッシングメールから始まります。その中には、Miron Geek Software GmbHが作成したPDF24 Appという正規プログラムが入っています。アプリ自体は文書管理のための実在するツールですが、ハッカーはDLLサイドローディングと呼ばれる手法を用いて、その脆弱性を悪用します。
このケースでは、cryptbase.dllという悪意のあるファイルを、本物のPDF24.exeと同じフォルダに配置することでこの手法が機能します。ユーザーがプログラムを開くと、コンピュータは本来のシステムファイルではなく攻撃者のコードを読み込むようにだまされます。マルウェアはシステムメモリ上で完全に動作するため、従来型のアンチウイルスツールを回避できます。
被害者に気づかれないようにするため、研究者は、このマルウェアがCREATE_NO_WINDOWとラベル付けされた隠しコマンド文字列を使用し、動作中に画面上へ「可視のコンソールが表示されない」ようにしていると指摘しました。
諜報のために作られたツール
Resecurityのブログ投稿によると、PDFSIDERは高度持続的脅威(APT)に分類されます。これは、一撃で終わる攻撃ではなく、長期的なスパイ活動を目的として作られていることを意味します。このマルウェアは非常に慎重でもあり、GlobalMemoryStatusEx関数を使ってシステムのRAMを確認します。メモリが少ない(セキュリティ専門家が検証に用いるサンドボックスの一般的な兆候)と検知した場合、潜伏するために早期終了を実行します。
有効化されると、マルウェアはBotan 3.0.0暗号ライブラリを使用して通信を保護します。AES-256-GCM暗号化で窃取したデータをロックし、コンピュータの「固有ID」を作成して、DNSの53番ポート経由でプライベートVPSサーバーへ出力を送信します。
既知のハッキンググループとの関連
このキャンペーンは高い持続性を示しています。最近のある事例では、ハッカーはQuickAssistを使って遠隔アクセスを得るために、「テクニカルサポートになりすます」ことまで試みました。また、PLA(中国人民解放軍)情報局が作成したように見せかけた偽文書を用いて、被害者を誘い込む手口も使っています。
研究者は、この攻撃スタイルが、ベネズエラのニュースをテーマにした誘い文句を使って米国政府をスパイするために新しいLOTUSLITEバックドアを使用していたことが確認されたMustang Pandaのようなグループと重なる可能性があると考えています。
この特定の調査は単一の企業ターゲットに焦点を当てたものですが、ResecurityのHUNTERチームは、複数のランサムウェアグループが現在、自分たちのペイロードを配布する手段としてPDFSIDERを利用していると警告しました。この発見は、オンラインのワークスペースを保護しようとするあらゆる人にとって重要な情報となります。
翻訳元: https://hackread.com/hackers-exploit-pdf24-app-pdfsider-backdoor/
