【安全资讯】新型PDFSider恶意软件入侵财富100强金融企业网络

概要：

网络安全公司Resecurity近日披露，针对一家财富100强金融企业的勒索软件攻击中，攻击者使用了一种名为PDFSider的新型Windows恶意软件。该恶意软件通过鱼叉式钓鱼邮件传播，利用合法签名软件PDF24 Creator的漏洞进行DLL侧加载，以绕过终端检测与响应（EDR）系统，其隐蔽性和持久性特点显示出与高级持续性威胁（APT）相关的典型手法。

主要内容：

攻击者通过伪装成技术支持人员，诱骗目标公司员工安装Microsoft Quick Assist工具，从而获得远程访问权限。PDFSider恶意软件被封装在钓鱼邮件携带的ZIP压缩包中，其中包含由Miron Geek Software GmbH开发的、经过数字签名的合法PDF24 Creator工具可执行文件，以及一个恶意的cryptbase.dll文件。当可执行文件运行时，会加载攻击者的DLL文件，实现代码执行。

Resecurity指出，PDFSider在Qilin勒索软件攻击中被发现部署，但该后门已被多个勒索软件组织“积极使用”。恶意软件直接加载到内存中，磁盘痕迹极少，并通过匿名管道使用CMD执行命令。受感染主机会被分配唯一标识符，系统信息通过DNS（端口53）外泄至攻击者的VPS服务器。

PDFSider使用Botan 3.0.0加密库和AES-256-GCM算法对命令与控制（C2）通信进行加密，并在内存中解密数据以减小主机上的痕迹。数据还通过GCM模式下的AEAD进行身份验证。此外，该恶意软件具备多种反分析机制，如RAM大小检查和调试器检测，一旦发现沙箱运行迹象便会提前退出。

研究人员评估认为，PDFSider更接近“间谍活动手法而非以经济利益为主的恶意软件”，其设计旨在维持长期的隐蔽访问，并提供灵活的远程命令执行和加密通信能力。此次事件凸显了利用合法签名软件漏洞进行攻击的复杂威胁正在增长。