Resecurityの報告によると、高度な機能を備えた新たに特定されたマルウェアファミリーが、複数のランサムウェアグループを含む標的型攻撃で使用されている。
PDFSiderと名付けられたこの脅威は、暗号化されたコマンド&コントロール(C&C)機能を備えたバックドアを展開するよう設計されており、サイバー諜報やリモートコード実行(RCE)など、通常APTに関連付けられる機能を攻撃者に提供する。
この脅威は、コマンド実行のための対話型の隠しシェルを提供し、認証付き暗号化にBotan暗号ライブラリを使用して、暗号化された通信チャネル経由でコマンド出力を持ち出す。
PDFSiderは正規のPDF24 Creatorアプリケーションを介してサイドロードされ、スピアフィッシングメールに添付されたZIPアーカイブとして被害者に届けられる。主にメモリ上で動作し、マルウェアは通信を確立し、システム情報を収集し、バックドアのループを開始する。
Resecurityによれば、PDFSiderはフォーチュン100企業に対する攻撃で使用され、攻撃者はソーシャルエンジニアリングとQuickAssistを用いてリモートアクセスを獲得したという。
しかし、このサイバーセキュリティ企業は、複数のランサムウェアグループがすでにペイロード配信手段として攻撃にこれを使用していると指摘している。
多段階の環境検証ルーチンにより、PDFSiderは仮想環境や解析ツールを検出でき、これがサイバー犯罪者にとって魅力となっている。
また、AV/EDR回避も含まれており、配信にDLLサイドローディングを用いることも脅威アクターの検知回避に役立つ。実際、Resecurityは、APTとサイバー犯罪者の双方が最近の攻撃でこのコード実行手法を好んでいるようだと述べており、AcronisとTrellixの最近の報告もそれを裏付けている。
Windowsシステムにおけるセキュリティソリューションの回避とコード実行の一般的な手法であるDLLサイドローディングは、脆弱だが正規のアプリケーションを悪用して悪意のあるDLLを読み込ませ、永続化や権限昇格を実現することに依存している。
DLLサイドローディングを悪用するAPTおよびサイバー犯罪グループ
Acronisの報告によると、中国と関連するAPT「Mustang Panda」は、米国・ベネズエラ紛争の文脈で米国政府および政策関連組織を標的とした最近のキャンペーンでDLLサイドローディングを使用した。
この国家支援の諜報グループは、スピアフィッシングメールを用いて、正規の実行ファイルと、LotusEliteと名付けられたカスタムC++バックドアを実行するためにサイドロードされるよう設計された隠しDLLを含むZIPアーカイブを配布していた。
このバックドアはシェルを生成してリモートコード実行(RCE)を可能にし、コマンド出力をリアルタイムで取得できる。受信したコマンドに基づき、LotusEliteはファイルの列挙、作成、変更を行える。
Acronisによれば、このインプラントはステージングまたはビーコニングサーバーとして使用されているようで、攻撃者が感染したエンドポイントに複数回接続している様子が確認されたという。
しかし、Mustang Pandaによる新たな攻撃でDLLサイドローディングが使用されることは驚くべきことではない。というのも、このAPTはペイロードの実行と検知回避のためにこの手法を用いることで知られているからだ。
先週、Trellixは、オープンソースのC-aresライブラリのコンポーネントである正規ユーティリティAhost.exeが、情報窃取型やリモートアクセス型トロイの木馬(RAT)などのコモディティマルウェアを伴う攻撃において、DLLサイドローディングに悪用されていることを詳述した。
攻撃者はおそらくフィッシングに依存し、アラビア語、英語、ペルシャ語、ポルトガル語、スペイン語にローカライズされたファイル名を使用しながら、DLLサイドローディングを悪用して、AgentTesla、FormBook、Lumma Stealer、Vidar、CryptBot、Remcos、QuasarRAT、DCRat、XWormといったマルウェアファミリーで被害者に感染させた。
翻訳元: https://www.securityweek.com/apt-grade-pdfsider-malware-used-by-ransomware-groups/
