Nieuwe Windows-malware infiltreert Fortune 100-bedrijf via veilige PDF-software
Beveiligingsonderzoekers van Resecurity (via BleepingComputer) omschrijven PDFSider als “een verborgen achterdeur voor toegang op de lange termijn”. De malware is duidelijk ontworpen om zich diep in een bedrijfsnetwerk te nestelen en daar zo lang mogelijk actief te blijven en is dus niet bedoeld voor ‘quick wins’. De gevolgen kunnen aanzienlijk zijn: aanvallers kunnen via de backdoor ongemerkt extra malware installeren of gevoelige bedrijfsdata buitmaken.
Gerichte spearphishing als aanvalsmethode
Inmiddels is ook duidelijk hoe PDFSider (onder andere) wordt verspreid. De aanvallers maakten gebruik van zogeheten spearphishing-aanvallen, waarbij specifieke personen doelgericht worden benaderd om malware te laten installeren of data te stelen. Die berichten zijn vaak zo gepersonaliseerd dat ze nauwelijks nog als klassieke phishing te herkennen zijn.
Opvallend is dat de e-mails een zipbestand bevatten met ogenschijnlijk legitieme software: PDF24 Creator. Die software is digitaal ondertekend en afkomstig van een betrouwbare ontwikkelaar, Miron Geek Software GmbH, die niets met de aanval te maken heeft. Juist dat maakte de PDF-software aantrekkelijk voor misbruik. Ze bevat namelijk een kwetsbaarheid die het mogelijk maakt om schadelijke bestanden toe te voegen zonder dat het digitale certificaat ongeldig wordt.
Misbruik van legitieme software
Precies die kwetsbaarheid werd uitgebuit. De aangepaste versie van PDF24 Creator activeert tijdens de installatie ook een DLL-bestand, waardoor code execution mogelijk wordt met de rechten van het uitvoerbare .exe-bestand. In sommige gevallen ontvingen slachtoffers geen zipbestand, maar een lokdocument met vergelijkbare inhoud en functionaliteit.
Slimme anti-analysemechanismen
Naast het misbruik van DLL-bestanden werd de kwetsbaarheid ook ingezet om EDR-systemen (Endpoint Detection and Response) te omzeilen. Eenmaal geïnstalleerd draait PDFSider grotendeels in het geheugen, waardoor er nauwelijks sporen achterblijven op het systeem.
Daarbovenop bevat de malware verschillende anti-analysemechanismen. PDFSider controleert onder meer op RAM-checks en debugger detection om te bepalen of het in een sandbox draait. Is dat het geval, dan wordt de aanval stopgezet, simpelweg omdat er in zo’n omgeving weinig te halen valt.
Actief misbruik door meerdere groeperingen
Volgens Resecurity wordt het misbruik van PDFSider onder meer gelinkt aan de Qilin-ransomwaregroepering. Tegelijkertijd benadrukken de onderzoekers dat Qilin lang niet de enige partij is die deze Windows-achterdeur inzet. Meerdere criminele organisaties zouden PDFSider gebruiken om langdurige en onopvallende toegang tot bedrijfsnetwerken te behouden.
