PDFSiderと名付けられた新種の有害ソフトウェアが、フォーチュン100に名を連ねる金融機関のネットワーク内で最近発見されました。この発見は、新たなランサムウェア侵入に関連する厳格なインシデント対応の取り組みの最中に起きました。Resecurity チームによる調査結果によれば、この悪意あるツールは侵害された環境内に密かに永続性を確立するよう設計されており、高度に標的化された攻撃を示唆する特徴を備えています。
アンチウイルス & マルウェア
攻撃者は、テクニカルサポート担当者を装う高度なソーシャルエンジニアリングによって侵入を画策しました。従業員はMicrosoft Quick Assistユーティリティのインストールを強要され、その結果、攻撃者は社内ワークステーションへの無制限のリモートアクセスを得ました。PDFSiderは、Miron Geek Software GmbHの正規のPDF24 Creator実行ファイルを含むZIPアーカイブを仕込んだ欺瞞的なメッセージを介して拡散されます。このアーカイブには、破壊的に改ざんされたライブラリcryptbase.dllが同梱されています。主要ファイルを実行すると、システムは意図せず攻撃者のDLLを呼び出します。これはDLLサイドローディングとして知られる手口で、悪意あるペイロードが信頼されたプロセスになりすますことを可能にします。
主要な実行ファイルには正規のデジタル署名があるにもかかわらず、PDF24ソフトウェアには脅威検知メカニズムの回避を可能にする潜在的な脆弱性が含まれています。研究者は、この種の脆弱なアプリケーションが、人工知能による診断の活用を通じて脅威アクターによりますます特定されていると指摘しています。PDFSiderは揮発性メモリへ直接注入され、物理ディスク上に残るフォレンジック上の痕跡はごくわずかです。このマルウェアは匿名チャネルを用いてCMD経由でコマンドを実行し、侵害された各ホストに固有の識別子を割り当て、ポート53のDNSを介してテレメトリをリモートサーバーへ流出させます。
コマンド&コントロール(C2)基盤を強化するため、PDFSiderはBotan 3.0.0暗号ライブラリを採用し、AES-256-GCM暗号化を使用します。データはメモリ内でのみ復号され、GCMモードのAEADアルゴリズムが通信の真正性を保証します。このような高度な手法は、通信の完全性を維持することが最重要となるリモート管理向けの高度なスパイウェアに典型的に見られるものです。さらに、このマルウェアは、利用可能なRAMの監査やアクティブなデバッガの検出といったアンチフォレンジック対策も組み込んでおり、サンドボックス環境を察知すると直ちに実行を終了します。
専門家は、PDFSiderの機能は従来型のランサムウェアというより、デジタルスパイ活動のためのツールにより近いと見ています。これは秘匿性が高く持続的な足場を提供し、標準的なセキュリティソリューションには感知されないまま、遠隔からのシステム統制と暗号化された情報の送信を可能にします。
翻訳元: https://meterpreter.org/the-ghost-in-the-machine-resecurity-unmasks-pdfsider-malware/
