最近のセキュリティ研究では、侵害されたシステムへの隠蔽的で長期的なアクセスのために構築された新たに特定されたマルウェアが文書化されています。
Resecurityによってmm PDFSIDERと呼ばれるこの脅威は、Dynamic-Link Library(DLL)サイドローディングを通じて配信され、エンドポイント検出メカニズムを回避しながら暗号化されたバックドアをインストールするように設計されています。
Resecurityの研究者は、マルウェアを高度な標的型攻撃(APT)作戦の特徴を示すものとして説明しています。その設計は、ステルス実行、セキュアな通信、および分析回避チェックを組み合わせており、一般的なマルウェアよりもサイバースパイ行為ツールに近いものです。
感染チェーンとステルス実行
キャンペーンはZIPアーカイブを含むスピアフィッシングメールで始まります。その中には、よく知られているPDF作成ソフトウェアに偽装する「PDF24 App」というラベルが付いた、正規のデジタル署名付き実行ファイルが含まれています。実行されると、ファイルには見えるインターフェースは表示されませんが、すぐにバックグラウンドで実行を開始します。
攻撃者は正規のアプリケーションの弱点を悪用してDLLサイドローディングをトリガーします。悪意のあるcryptbase.dllが実行ファイルの横に配置され、プログラムが正規のシステムライブラリの代わりにそれをロードするようになります。この技術により、PDFSIDERは多くのアンチウイルスおよびEDR制御をバイパスできます。
一度アクティブになると、マルウェアはネットワーキングコンポーネントを初期化し、ホストの詳細を収集し、バックドアルーチンに入ります。そのアクティビティのほとんどはメモリで発生し、ディスクアーティファクトを大幅に削減し、フォレンジック分析を複雑にします。
PDFSIDERの中核は、暗号化されたコマンド・アンド・コントロール(C2)チャネルです。マルウェアはBotanクリプトグラフィックライブラリを埋め込み、AES-256-GCM認証暗号化を使用して、コマンドトラフィックと応答が機密性を保ち、改ざんに強いことを保証します。
コマンドは見えるコンソールウィンドウなしでcmd.exeを通じて実行されます。出力は匿名パイプを通じてキャプチャされ、暗号化されたチャネルを通じて攻撃者に送り返されます。すべての暗号化と復号化はメモリで行われます。
-
インタラクティブなリモートコマンド実行(RCE)
-
暗号化されたインバウンドおよびアウトバウンド通信
-
ユニークな被害者識別子を作成するためのシステムフィンガープリンティング
暗号化されたC2技術についてさらに読む:New Atroposia RAT Surfaces on Dark Web
アンチVM チェックとキャンペーンコンテキスト
PDFSIDERには、分析環境を検出するための複数のセーフガードが含まれています。システムメモリレベルをチェックして仮想マシン(VM)またはサンドボックスを識別し、閾値が満たされない場合は早期に終了します。追加のデバッガー検出は、監視された環境での実行の可能性をさらに低減します。
Resecurityは、ポート53でのDNSトラフィックを通じた、リースされたVPSインフラストラクチャへのデータ流出も特定しました。
場合によっては、中華人民共和国の主要な情報機関の内部文書として様式化されたフェイクファイルを含む、被害者をおびき寄せるためのデコイドキュメントが使用されました。
Resecurityは、PDFSIDERを大量配信の脅威ではなく、対象を絞った工作手法として評価しました。特定されたほとんどのアーティファクトは、人気のあるAVおよびEDR製品を回避し、持続的で隠蔽的なアクセスのために設計されたステルスバックドアとしてのそれらの役割を強化します。
翻訳元: https://www.infosecurity-magazine.com/news/pdfsider-anti-vm-checks-hidden/
