PDFSIDER เป็น Backdoor ใหม่ที่ถูกเปิดเผย ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมระบบ Windows ได้ในระยะยาว พร้อมทั้งหลีกเลี่ยงการตรวจจับจาก Antivirus และเครื่องมือ Endpoint Detection and Response (EDR) ได้อย่างมีประสิทธิภาพ มัลแวร์นี้ใช้ซอฟต์แวร์ที่น่าเชื่อถือและการเข้ารหัสที่แข็งแกร่งเพื่อซ่อนตัว ทำให้ผู้บุกรุกสามารถรันคำสั่ง สำรวจเครือข่าย และเคลื่อนที่เข้าสู่ระบบภายในที่ถูกโจมตีได้ลึกขึ้น การโจมตีมักเริ่มต้นผ่านการโจมตีแบบ Spear Phishing โดยส่งไฟล์ ZIP ที่มีโปรแกรม PDF24 Creator ที่ถูกแก้ไขพร้อม DLL ที่เป็นอันตราย
Severity: วิกฤต
System Impact:
- ระบบปฏิบัติการ Windows
- เครื่องมือ Antivirus (AV)
- เครื่องมือ Endpoint Detection and Response (EDR)
- เครือข่ายองค์กร
- DNS (สำหรับ Command and Control)
Technical Attack Steps:
- การโจมตีเริ่มต้นด้วย Spear Phishing: เหยื่อได้รับอีเมลพร้อมไฟล์ ZIP ที่มีโปรแกรม PDF24 Creator ที่ถูกต้องตามกฎหมายพร้อมใบรับรองที่ถูกต้อง แต่มีไฟล์ DLL ที่เป็นอันตราย (cryptbase.dll) ซ่อนอยู่
- DLL Side-Loading: เมื่อเหยื่อเปิดโปรแกรม PDF24 Creator โปรแกรมจะโหลด cryptbase.dll ปลอมแทนไฟล์ระบบจริง ซึ่งเป็นเทคนิคที่ใช้หลีกเลี่ยงการตรวจจับ
- การติดตั้ง Backdoor ในหน่วยความจำ: PDFSIDER จะเริ่มต้น Winsock, รวบรวมข้อมูลระบบ, สร้างตัวระบุโฮสต์ที่ไม่ซ้ำกัน และติดตั้ง Backdoor ที่ทำงานในหน่วยความจำ
- การหลีกเลี่ยงการตรวจจับขั้นสูง: มัลแวร์ทำงานในหน่วยความจำเป็นหลัก, ตรวจสอบ Virtual Machine และ Debugger และหลีกเลี่ยงการใช้ Exploit Chain ที่ส่งเสียงดัง ทำให้ Antivirus และ EDR ตรวจจับได้ยาก
- การควบคุมระยะไกล: สร้าง Anonymous Pipe และเปิดกระบวนการ cmd.exe แบบซ่อนโดยใช้ Flag CREATE_NO_WINDOW เพื่อดำเนินการคำสั่งจากผู้โจมตีโดยไม่มีหน้าต่างคอนโซลปรากฏ
- การสื่อสาร C2 ที่เข้ารหัส: ผลลัพธ์ของคำสั่งจะถูกจับภาพและส่งกลับผ่านช่องทางสื่อสาร Command and Control (C2) ที่เข้ารหัสด้วย AES 256 GCM โดยใช้ไลบรารี Botan ผ่าน DNS Port 53 ทำให้การรับส่งข้อมูลดูเหมือนคำขอ DNS ปกติ
Recommendations:
Short Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีแบบ Spear Phishing และการตรวจสอบไฟล์แนบจากอีเมลที่ไม่รู้จักหรือไม่น่าเชื่อถืออย่างรอบคอบ
- ตรวจสอบและแพตช์ช่องโหว่ DLL Side-Loading ที่ทราบในระบบปฏิบัติการและแอปพลิเคชัน
- ปรับใช้และกำหนดค่า EDR/XDR ให้มีประสิทธิภาพยิ่งขึ้น โดยเฉพาะความสามารถในการตรวจจับกิจกรรมที่ผิดปกติในหน่วยความจำและพฤติกรรมของโปรเซส
- ตรวจสอบการรับส่งข้อมูล DNS เพื่อหาสิ่งผิดปกติที่อาจบ่งชี้ถึงการสื่อสาร C2 ที่เข้ารหัส
Long Term:
- ใช้หลักการ Zero Trust เพื่อจำกัดการเข้าถึงและลดความเสี่ยงจากการเคลื่อนที่ในเครือข่ายของผู้โจมตี
- แบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของมัลแวร์หากมีการบุกรุกเกิดขึ้น
- ทำการประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) อย่างสม่ำเสมอ เพื่อระบุและแก้ไขจุดอ่อน
- ลงทุนในเครื่องมือรักษาความปลอดภัยบนคลาวด์ (Cloud Security Tools) ที่มีคุณสมบัติการวิเคราะห์พฤติกรรมขั้นสูง
- สมัครใช้บริการ Threat Intelligence เพื่อรับทราบภัยคุกคามล่าสุดและทำการล่าภัยคุกคาม (Threat Hunting) เชิงรุกในสภาพแวดล้อมของคุณ
Source: https://cybersecuritynews.com/pdfsider-malware-actively-used-by-threat-actors/
Share this content: