PDFSIDER, saldırganlara Windows sistemlerinin uzun vadeli kontrolünü verirken birçok antivirüs ve uç nokta algılama ve yanıt aracını geride bırakan, yeni açığa çıkan bir arka kapıdır.
Varlığını gizlemek, davetsiz misafirlerin komutları çalıştırmasına, ağı incelemesine ve hedeflenen ortamlarda daha derinlere gitmesine olanak sağlamak için güvenilir yazılım ve güçlü şifreleme kullanır.
PDFSIDER’ın arkasındaki kampanya, odaklanmış hedef odaklı kimlik avına dayanıyor. Mağdurlar, geçerli bir sertifikayla imzalanmış, meşru bir PDF24 Oluşturucu yürütülebilir dosyasının bulunduğu bir ZIP arşivinin yanı sıra diğer tamamlayıcı dosyaları içeren e-postalar alıyor.
.webp)
Kullanıcı güvenilir uygulamayı başlattığında, herhangi bir belge görüntüleyici yerine gizli bir veri tetiklenir ve neredeyse hiçbir görünür işaret olmadan ihlal başlatılır.
Güvenlik analistleri, veri kaybı meydana gelmeden önce durdurulan bir Fortune 100 kuruluşuna yönelik izinsiz giriş girişimi sırasında PDFSIDER’ı tespit etti.
.webp)
Araştırmaları, kötü amaçlı yazılımın hâlihazırda çok sayıda fidye yazılımı grubu ve gelişmiş aktörler tarafından standart güvenlik kontrollerinin dışına çıkabilen güvenilir bir yük yükleyici olarak kullanıldığını gösterdi.
Aracın tasarımı, parçalama ve gasp suçlarından ziyade casusluk zanaatına daha çok benziyor.
Savunmacılar üzerindeki etkisi
PDFSIDER geçerli bir uygulamayı, sahte bir Windows cryptbase.dll dosyasını ve DNS bağlantı noktası 53 üzerinden şifrelenmiş komut ve kontrol trafiğini harmanladığı için savunucular üzerindeki etkisi ciddidir.
.webp)
Esas olarak bellekte çalışarak, sanal makineleri ve hata ayıklayıcıları kontrol ederek ve gürültülü yararlanma zincirlerinden kaçınarak, geleneksel imza tabanlı algılama ve korumalı alan testlerini çok daha az etkili hale getirir.
Enfeksiyon akışı, kurbanın teslim edilen arşivden truva atı haline getirilmiş PDF24 yürütülebilir dosyasını çalıştırmasıyla başlar. Saldırganlar aynı klasöre, DLL tarafı yükleme kurallarını kötüye kullanan kötü amaçlı bir cryptbase.dll yerleştirir ve böylece program, gerçek sistem dosyası yerine kendi kütüphanesini yükler.
PDFSIDER yüklendikten sonra Winsock’u başlatır, sistem ayrıntılarını toplar, benzersiz bir ana bilgisayar tanımlayıcısı oluşturur ve bellek içi bir arka kapı döngüsü kurar.
Daha sonra kötü amaçlı yazılım, anonim kanallar oluşturur ve CREATE_NO_WINDOW bayrağını kullanarak gizli bir cmd.exe işlemi başlatır.
Operatörler tarafından gönderilen tüm komutlar konsol penceresi olmadan yürütülür ve çıktı yakalanıp Botan kütüphanesi tarafından desteklenen AES 256 GCM şifreli bir kanal üzerinden geri gönderilir.
Tüm trafik güçlü bir şekilde korunduğu ve hiçbir zaman diske yazılmadığı için, güvenlik araçları yalnızca normal görünen DNS isteklerini görürken, saldırganlar tam uzaktan kabuk kontrolünden yararlanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
