Nowo zidentyfikowana rodzina złośliwego oprogramowania o zaawansowanych możliwościach jest wykorzystywana w atakach ukierunkowanych (APT) – również przez wiele grup ransomware.

Autor: 4 min czytania

Zagrożenie zostało opisane i nazwane przez Resecurity. PDFSider, bo o nim mowa, został zaprojektowany, aby wdrożyć backdoora z szyfrowanymi funkcjami dowodzenia i kontroli (C&C) i zapewnić atakującym funkcjonalności typowo kojarzone z APT, takie jak cyberszpiegostwo i zdalne wykonywanie kodu (RCE).

Badacze wyjątkowo dobrze opisali całą kampanię – szczegóły można znaleźć tutaj.

Malware zapewnia interaktywną ukrytą powłokę do wykonywania poleceń i wykorzystuje bibliotekę kryptograficzną Botan do uwierzytelniania szyfrowania, eksfiltrując dane wyjściowe poleceń za pomocą szyfrowanego kanału komunikacyjnego.

PDFSider ładuje się za pośrednictwem legalnej aplikacji PDF24 Creator, która jest dostarczana ofiarom w archiwum ZIP załączonym do wiadomości e-mail typu spear phishing. Działając głównie w pamięci, złośliwe oprogramowanie nawiązuje komunikację, gromadzi informacje systemowe i uruchamia pętlę backdoora.

Resecurity twierdzi, że PDFSider został użyty w ataku na korporację z listy Fortune 100, w którym atakujący wykorzystali socjotechnikę i QuickAssist, aby uzyskać zdalny dostęp. Jednak wiele grup ransomware już wykorzystuje go w atakach jako metodę dostarczania ładunku.

Wieloetapowa procedura walidacji środowiska pozwala PDFSiderowi wykrywać środowiska wirtualne i narzędzia analityczne, co czyni go atrakcyjnym dla cyberprzestępców. Obejmuje również unikanie EDR-ów, a wykorzystanie bocznego ładowania bibliotek DLL do dostarczania danych pomaga atakującym uniknąć wykrycia. W rzeczywistości, jak zauważa Resecurity, zarówno APT, jak i cyberprzestępcy wydają się preferować tę technikę wykonywania kodu w ostatnich atakach, co dodatkowo potwierdzają najnowsze raporty firm Acronis i Trellix.

Informacje ze wspomnianych raportów wykorzystamy w dalszej części i za SecurityWeek napiszemy, w jaki sposób popularna technika omijania zabezpieczeń i wykonywania kodu w systemach Windows, boczne ładowanie bibliotek DLL, wykorzystuje legalne aplikacje do załadowania złośliwych bibliotek DLL i uzyskania trwałości lub eskalacji uprawnień.

APT i grupy cyberprzestępcze używające technologii sideloadingu bibliotek DLL

Acronis informuje, że powiązana z Chinami grupa APT Mustang Panda wykorzystała sideloading bibliotek DLL w niedawnej kampanii wymierzonej w rząd USA i podmioty związane z polityką w kontekście konfliktu amerykańsko-wenezuelskiego.

Sponsorowana przez państwo grupa szpiegowska wykorzystywała wiadomości e-mail typu spear phishing do dostarczania archiwum ZIP zawierającego legalny plik wykonywalny i ukrytą bibliotekę DLL przeznaczoną do sideloadingu w celu wykonania niestandardowego backdoora C++ o nazwie LotusElite.

Backdoor może uruchomić powłokę umożliwiającą zdalne wykonywanie kodu (RCE) i pobieranie danych wyjściowych poleceń w czasie rzeczywistym. Na podstawie otrzymanych poleceń LotusElite może enumerować, tworzyć i modyfikować pliki.

Acronis zauważa, że implant wydaje się wykorzystywany jako serwer przejściowy lub sygnalizacyjny, ponieważ atakujący wielokrotnie łączyli się z zainfekowanymi punktami końcowymi.

Wykorzystanie bocznego ładowania bibliotek DLL w najnowszych atakach na Mustang Panda jednak nie zaskakuje, ponieważ APT znane jest z wykorzystywania tej techniki do wykonywania ładunków i unikania wykrycia.

W zeszłym tygodniu Trellix szczegółowo opisał użycie legalnego narzędzia Ahost.exe, będącego składnikiem biblioteki open source C-ares, do bocznego ładowania bibliotek DLL w atakach z udziałem popularnego złośliwego oprogramowania, takiego jak programy wykradające informacje i trojany zdalnego dostępu (RAT).

Opierając się prawdopodobnie na phishingu i używając zlokalizowanych nazw plików w języku arabskim, angielskim, perskim, portugalskim i hiszpańskim, atakujący nadużywali bocznego ładowania bibliotek DLL, aby infekować ofiary rodzinami złośliwego oprogramowania, takimi jak AgentTesla, FormBook, Lumma Stealer, Vidar, CryptBot, Remcos, QuasarRAT, DCRat i XWorm.