Nowo zidentyfikowana rodzina złośliwego systemu o zaawansowanych możliwościach jest wykorzystywana w atakach ukierunkowanych (APT) – również przez wiele grup ransomware.
Zagrożenie zostało opisane i nazwane przez Resecurity. PDFSider, bo o nim mowa, został zaprojektowany, aby wdrożyć backdoora z szyfrowanymi funkcjami dowodzenia i kontroli (C&C) i zapewnić atakującym funkcjonalności typowo kojarzone z APT, takie jak cyberszpiegostwo i zdalne wykonywanie kodu (RCE).
Badacze wyjątkowo dobrze opisali całą kampanię – szczegóły można znaleźć tutaj.
Malware zapewnia interaktywną ukrytą powłokę do wykonywania poleceń i wykorzystuje bibliotekę kryptograficzną Botan do uwierzytelniania szyfrowania, eksfiltrując dane wyjściowe poleceń dzięki szyfrowanego kanału komunikacyjnego.
PDFSider ładuje się za pośrednictwem legalnej aplikacji PDF24 Creator, która jest dostarczana ofiarom w archiwum ZIP załączonym do wiadomości e-mail typu spear phishing. Działając głównie w pamięci, złośliwe oprogramowanie nawiązuje komunikację, gromadzi informacje systemowe i uruchamia pętlę backdoora.
Resecurity twierdzi, iż PDFSider został użyty w ataku na korporację z listy Fortune 100, w którym atakujący wykorzystali socjotechnikę i QuickAssist, aby uzyskać zdalny dostęp. Jednak wiele grup ransomware już wykorzystuje go w atakach jako metodę dostarczania ładunku.
Wieloetapowa procedura walidacji środowiska pozwala PDFSiderowi wykrywać środowiska wirtualne i narzędzia analityczne, co czyni go atrakcyjnym dla cyberprzestępców. Obejmuje również unikanie EDR-ów, a wykorzystanie bocznego ładowania bibliotek DLL do dostarczania danych pomaga atakującym uniknąć wykrycia. W rzeczywistości, jak zauważa Resecurity, zarówno APT, jak i cyberprzestępcy wydają się preferować tę technikę wykonywania kodu w ostatnich atakach, co dodatkowo potwierdzają najnowsze raporty firm Acronis i Trellix.
Informacje ze wspomnianych raportów wykorzystamy w dalszej części i za SecurityWeek napiszemy, w jaki sposób popularna technika omijania zabezpieczeń i wykonywania kodu w systemach Windows, boczne ładowanie bibliotek DLL, wykorzystuje legalne aplikacje do załadowania złośliwych bibliotek DLL i uzyskania trwałości lub eskalacji uprawnień.
APT i grupy cyberprzestępcze używające technologii sideloadingu bibliotek DLL
Acronis informuje, iż powiązana z Chinami grupa APT Mustang Panda wykorzystała sideloading bibliotek DLL w niedawnej kampanii wymierzonej w rząd USA i podmioty związane z polityką w kontekście konfliktu amerykańsko-wenezuelskiego.
Sponsorowana przez państwo grupa szpiegowska wykorzystywała wiadomości e-mail typu spear phishing do dostarczania archiwum ZIP zawierającego legalny plik wykonywalny i ukrytą bibliotekę DLL przeznaczoną do sideloadingu w celu wykonania niestandardowego backdoora C++ o nazwie LotusElite.
Backdoor może uruchomić powłokę umożliwiającą zdalne wykonywanie kodu (RCE) i pobieranie danych wyjściowych poleceń w czasie rzeczywistym. Na podstawie otrzymanych poleceń LotusElite może enumerować, tworzyć i modyfikować pliki.
Acronis zauważa, iż implant wydaje się wykorzystywany jako serwer przejściowy lub sygnalizacyjny, ponieważ atakujący wielokrotnie łączyli się z zainfekowanymi punktami końcowymi.
Wykorzystanie bocznego ładowania bibliotek DLL w najnowszych atakach na Mustang Panda jednak nie zaskakuje, ponieważ APT znane jest z wykorzystywania tej techniki do wykonywania ładunków i unikania wykrycia.
W zeszłym tygodniu Trellix szczegółowo opisał użycie legalnego narzędzia Ahost.exe, będącego składnikiem biblioteki open source C-ares, do bocznego ładowania bibliotek DLL w atakach z udziałem popularnego złośliwego oprogramowania, takiego jak programy wykradające informacje i trojany zdalnego dostępu (RAT).
Opierając się prawdopodobnie na phishingu i używając zlokalizowanych nazw plików w języku arabskim, angielskim, perskim, portugalskim i hiszpańskim, atakujący nadużywali bocznego ładowania bibliotek DLL, aby infekować ofiary rodzinami złośliwego oprogramowania, takimi jak AgentTesla, FormBook, Lumma Stealer, Vidar, CryptBot, Remcos, QuasarRAT, DCRat i XWorm.
