In den letzten Wochen hatten Sicherheitsforscher eine Kampagne, die klassische Social Engineering-Techniken mit einem immer anspruchsvolleren Code kombiniert: eine neue Backdoor genannt als PDFsider wird verwendet, um stille Türen in Windows-Umgebungen zu öffnen und Ransomware-Einsätze gegen hochkarätige Unternehmen zu erleichtern, einschließlich mindestens ein Ziel innerhalb der Fortune 100 Liste des Finanzsektors.
Der Punkt des Eintrags ist nicht eine Zero-Tag, der Explosion, sondern eine berechnete Mischung aus Lures und Missbrauch von Vertrauen. Die Angreifer senden gerichtete E-Mails mit einer ZIP-Datei. Innerhalb dieses ZIP kommt eine legitime und digital signierte Kopie des PDF24 Creator Installers, eine bekannte Anwendung, deren offizielle Website ist pdf24.org. Neben diesem legitimen ausführbaren Ort eine manipulierte DLL-Buchhandlung namens cryptbase.dll; wenn . EXE lädt schädliche DLL, der Angreifercode wird innerhalb des legitimen Prozesses ausgeführt. Diese Technik, bekannt als DLL Seitenrollen, nutzt das Vertrauen, dass das System und die Sicherheitslösungen zu unterzeichneten Binaries geben.
Die technischen Details der Malware wurden von der Firma veröffentlicht, die es während einer Vorfall-Reaktion entdeckt. Sicherheit beschreibt PDFSider als Backdoor, um versteckt zu bleiben und dauerhaften Zugang zu erhalten, mit Funktionen, die mehr an die gezielte Cyberespionage dass auf Malware rein ausgerichtet, um eine schnelle Rettung zu erhalten.
Neben der Deko des Installateurs tragen die E-Mails in einigen Varianten decoy-Dokumente, die dem Maß des Opfers zuzuordnen scheinen: PDFs mit falschen Autoren, die vorgaben, zu Regierungseinheiten gehören, um Glaubwürdigkeit zu geben und die Wahrscheinlichkeit zu erhöhen, dass der Empfänger die Anlage ausführen wird. In anderen Operationen griffen die Angreifer auf Social Engineering, indem sie als technisches Support-Personal anriefen und versuchten, Mitarbeiter zu überzeugen, Remote-Tools wie Microsofts Hilfe-Dienstprogramm zu installieren - ein Manöver, das die interaktive Systemsteuerung mit der direkten Zustimmung des Opfers erleichtert.
Wenn die schädliche DLL geladen wird, erben Sie die Berechtigungen der legitimen ausführbar, die es nannte, die Angreifern ermöglichen können, Kontrollen zu überspringen und seitliche Bewegungen auf dem internen Netzwerk. PDFSider vermeidet auch, den Track auf der Festplatte zu verlassen, indem er einen Großteil seines Codes direkt in den Speicher geladen und anonyme Röhren verwendet, um Befehle von CMD auszuführen, Techniken, die es schwierig machen, durch EDR und andere Mechanismen auf Basis von Dateianalysen zu erkennen.
Die Kommunikation mit der Befehls- und Kontrollinfrastruktur ist auch für Camouflage konzipiert: Infizierte Teams erhalten eine eindeutige Kennung, sammeln Systeminformationen und übermitteln sie an den Server des Angreifers über DNS-Anfragen durch Port 53, einen Kanal, der oft in vielen Netzwerken unbemerkt ist. Um die Vertraulichkeit und Integrität dieser Sitzungen zu schützen, nutzt PDFSider die Botanische kryptographische Buchhandlung in ihrer Version 3.0.0 und AEAD-Verschlüsselung mit AES-256-GCM, um Daten im Speicher zu entschlüsseln, um persistente Artefakte im Host zu minimieren. Die allgemeine Dokumentation von Botan ist verfügbar unter wohnzimmer.com.
Die Verwendung von AES-GCM und einer reifen Buchhandlung wie Botan ist von Bedeutung: Es ist nicht die Improvisation eines Childdie-Skripts, sondern eine Implementierung, die darauf abzielt, die Kommunikation sicher und resistent gegen die Analyse zu halten. Darüber hinaus enthält Malware Anti-Analyse-Maßnahmen wie RAM-Größe-Checks und Debugging-Erkennung, um seine Ausführung abzubrechen, wenn es scheint, innerhalb einer Sandbox oder in einer Forschungsumgebung laufen.
Resecurity weist darauf hin, dass PDFSider bei Angriffen im Zusammenhang mit Qilin Ransomware beobachtet wurde, obwohl sein Bedrohungs-Suchteam gesehen hat, dass die Hintertür von verschiedenen Akteuren mit wirtschaftlichen Motiven wiederverwendet wird. Diese Flexibilität ist gefährlich: Eine Komponente, die darauf ausgelegt ist, versteckt zu bleiben und eine Fernbedienung zu bieten, kann sowohl von Spionagegruppen als auch von Ransomware-Bands verwendet werden, die vor dem Zugriff auf die Verschlüsselung aufrecht erhalten möchten.
Die Waffe in dieser Kampagne ist keine exotische Verwundbarkeit, sondern die Verwendung von legitimen und signierten Software, die Sie in einer erwarteten Weise laden würden. Diese Art von Missbrauch ist bekannt und im Rahmen von Angreiftechniken dokumentiert: Die MITRE ATT & CK-Basis sammelt und klassifiziert Lastvarianten von DLL als Techniken, die die Codeausführung durch zuverlässige Binaries ermöglichen; Ihre Spezifikation kann bei ATT & CK - DLL Side-Loading.
Welche praktischen Lektionen lässt dieser Vorfall? Erstens, dass das Vertrauen in die digitale Signatur eines ausführbaren nicht allein eine Sicherheitsgarantie ist: gültige Signaturen können als Trojanisches Pferd verwendet werden, wenn die binären Belastungen manipulative lokale Buchhandlungen. Zweitens, effektive Kampagnen kombinieren soziales Engineering mit Techniken, um die Erkennung zu umgehen, so muss der Schutz sowohl technologische als auch menschliche sein. Drittens müssen die Verteidiger auf scheinbar gutartige Kanäle wie DNS und Prozesse achten, die, obwohl legitim, ungewöhnliches Verhalten bei der Ausführung externer Komponenten zeigen.
Im Bereich des Betriebs ist es angezeigt, Software-Ausführungsrichtlinien und DLL-Suchrouten auf kritischen Stationen und Servern zu überprüfen, Privilegmanagement zu verschärfen und Kontrollen anzuwenden, die die Installation von Remote-Tools ohne Berechtigung einschränken. Es ist auch wichtig, DNS-Verkehrsanomalien und Speichertelemetrie und Prozesse zu erkennen, sowie einen Antwortplan, der die Identifizierung und Eindämmung von im Speicher wirkenden Back-Türen beinhaltet.
Für Organisationen, die nach Referenzen und Aktionsrahmen suchen, bieten die Kollektivführer auf Ransomware und Reaktion auf Regierungsvorfälle und Cybersicherheitsbehörden nützliche Richtlinien, zum Beispiel die US-Initiative, um Ransomware zu stoppen, sammelt Empfehlungen und Anwendungsfälle in CISA - Stop Ransomware. Und für diejenigen, die den technischen Bericht über PDFSider vertiefen möchten, enthält die Resecurity-Note eine detaillierte technische Analyse, die eine Überprüfung wert ist: Sicherheitsbericht auf PDFSider.
Kurz gesagt, PDFSider ist eine Erinnerung daran, dass Angreifer Sozialtechnik, Vertrauensmissbrauch und gute technische Praktiken kombinieren, um Bedrohungen zu schaffen, die schwer zu erkennen sind. Der Schutz selbst erfordert eine umfassende Strategie, die nicht nur Sicherheitstools, sondern auch Menschen ausbildet, die Ausführungsoberfläche der Software steuert und Kommunikationskanäle überwacht, die traditionell als harmlos angesehen werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...