Malware ng PDFSIDER
Ang PDFSIDER ay isang malisyosong backdoor na idinisenyo upang pasukin ang mga target na sistema at bigyan ang mga umaatake ng patuloy na malayuang access. Kapag aktibo na, nilalampasan nito ang mga kontrol sa seguridad sa pamamagitan ng pagpapanggap bilang isang lehitimong file at paggamit ng isang pamamaraan na kilala bilang DLL side-loading. Sa matagumpay na pagkompromiso, agad na kinokolekta ng malware ang impormasyon ng sistema at pinapagana ang malayuang pagpapatupad ng utos. Anumang nakumpirmang pagtuklas ay nangangailangan ng agarang pag-alis dahil sa antas ng kontrol na ibinibigay nito sa mga aktor ng banta.
Talaan ng mga Nilalaman
Paglihim sa Pamamagitan ng Memory-Only Execution
Isang natatanging katangian ng PDFSIDER ay ang kakayahang gumana pangunahin sa memorya ng sistema, na lubos na binabawasan ang kakayahang makita nito sa mga tradisyunal na tool sa seguridad. Pagkatapos ilunsad, tahimik itong nagtatatag ng mga nakatagong channel ng komunikasyon at nagsasagawa ng mga utos sa pamamagitan ng cmd.exe nang hindi ipinapakita ang anumang command window. Ang pamamaraang ito ay nagbibigay ng ganap na remote control habang binabawasan ang mga forensic trace sa disk.
Kasunod ng pagpapatupad ng utos, ang malware ay nagtitipon ng detalyadong impormasyon ng sistema, bumubuo ng isang natatanging identifier para sa nahawaang device, at ipinapadala ang parehong nakolektang data at output ng utos pabalik sa mga umaatake.
Mga Naka-encrypt na Komunikasyon at Mga Teknik sa Anti-Pagsusuri
Umaasa ang PDFSIDER sa matibay na encryption upang maitago ang lahat ng command-and-control traffic. Ang data ay dine-decrypt lamang sa memory at hindi kailanman isinusulat sa disk, na lalong nagpapahirap sa pag-detect at pagsusuri. Nagsasagawa rin ang malware ng mga environment check upang matukoy kung ito ay tumatakbo sa loob ng isang testing o sandbox environment. Kung pinaghihinalaan ang pagsusuri, tinatapos nito ang sarili nito upang maiwasan ang exposure.
Mga Kakayahang Operasyonal at Masasamang Layunin
Sa pamamagitan ng backdoor functionality nito, sinusuportahan ng PDFSIDER ang malawak na hanay ng mga malisyosong aktibidad, kabilang ang:
- Pagnanakaw ng sensitibong datos gaya ng mga dokumento, kredensyal, at detalyadong impormasyon ng sistema
- Patuloy na pagsubaybay sa mga nahawaang aparato at potensyal na paggalaw sa gilid patungo sa mga karagdagang sistema
Ang mga kakayahang ito ang pangunahing nagpoposisyon sa PDFSIDER bilang isang kasangkapan para sa paniniktik at pangmatagalang pagmamatyag, na nagbibigay-daan sa mga umaatake na tahimik na mapanatili ang pag-access sa loob ng matagalang panahon.
Naka-target na Impeksyon sa pamamagitan ng DLL Side-Loading
Ang malware ay ipinamamahagi sa pamamagitan ng maingat na ginawang mga phishing email na nagpapanggap na mga pinagkakatiwalaang source at naghahatid ng ZIP attachment. Sa loob ng archive ay isang executable na nagpapanggap bilang isang installer para sa isang lehitimong application na tinatawag na 'PDF24 App.' Kapag inilunsad, walang nakikitang programa na lilitaw, ngunit isang malisyosong DLL na nakaimbak sa tabi ng executable ang nilo-load kapalit ng isang lehitimong system file.
Ang pang-aabusong ito ng side-loading ng DLL ay nagbibigay-daan sa PDFSIDER na malampasan ang ilang mekanismo ng seguridad at mag-trigger ng impeksyon nang hindi inaalerto ang user.
Isang Patuloy at Mapanganib na Kasangkapan sa Paniniktik
Ang PDFSIDER ay kumakatawan sa isang stealth-focused backdoor na ginawa para sa pangmatagalang pag-access. Ang pag-uugali nito sa memory-resident, mga naka-encrypt na komunikasyon, at kamalayan sa kapaligiran ay nagbibigay-daan dito upang manatiling nakatago habang pinapanatili ang ganap na kontrol sa mga nakompromisong sistema. Ang mga katangiang ito ay ginagawa itong isang lubos na mabisang instrumento para sa pagnanakaw ng data, palihim na pagsubaybay, at patuloy na mga operasyon sa cyber-espionage.
