详细内容或原文请订阅后点击阅览
PDFSIDER 恶意软件 - 利用 DLL 旁加载进行 AV 和 EDR 规避
威胁参与者使用带有社会工程和 DLL 侧载的 PDFSIDER 恶意软件来绕过 AV/EDR,勒索软件团伙已经滥用了它。 Resecurity 在调查一次网络入侵企图时了解到了 PDFSIDER,该网络入侵企图被一家财富 100 强能源公司成功阻止。威胁行为者联系了他们的员工,冒充技术支持,并使用社交媒体 [...]
来源:Security Affairs _恶意软件PDFSIDER 恶意软件 - 利用 DLL 旁加载进行 AV 和 EDR 规避
威胁参与者使用带有社会工程和 DLL 侧载的 PDFSIDER 恶意软件来绕过 AV/EDR,勒索软件团伙已经滥用了它。
Resecurity 在调查一次网络入侵企图时了解到了 PDFSIDER,该网络入侵企图已被一家财富 100 强能源公司成功阻止。威胁行为者联系了他们的员工,冒充技术支持,并使用 QuickAssist 的社会工程策略,试图获得对其端点的远程访问。
考虑到 DLL 侧面加载技术,高级攻击者可以有效地利用此攻击媒介来绕过防病毒 (AV) 和端点检测和响应 (EDR) 系统。据我们的 HUNTER 团队称,PDFSIDER 也已被多个勒索软件攻击者积极用作有效负载传送方法。
PDFSIDER 是一种新发现的恶意软件变体,通过 DLL 侧面加载分发,旨在秘密部署具有加密命令和控制 (C2) 功能的后门。该恶意软件使用伪造的 cryptbase.dll 来绕过端点检测机制。
威胁行为者使用鱼叉式网络钓鱼电子邮件发起此活动,将受害者引导至邮件所附的 ZIP 存档。 ZIP 存档包含一个合法的 EXE 文件,标记为“PDF24 App”。PDF24 Creator 是 Miron Geek Software GmbH 的一款应用程序软件,用于从任何应用程序创建 PDF 文件并将文件转换为 PDF 格式。
该恶意软件被识别为高级持续威胁 (APT),具有与 APT 间谍技术相关的常见特征,包括隐秘执行、反虚拟机检查和加密通信。 PDFSIDER 将传统的网络间谍行为与现代远程命令功能相结合,使操作员能够收集系统情报并秘密远程执行 shell 命令。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(安全事务 - 黑客攻击、PDFSIDER)