新型 Windows 恶意软件 PDFSider 入侵财富 100 强企业网络

攻击者使用了一种名为PDFSider的新型恶意软件，在Windows系统上投放恶意载荷，针对金融行业《财富》前100强的一家企业发起勒索软件攻击。

攻击者借助社会工程学手段实施攻击。他们冒充技术支持人员，诱骗该企业员工安装微软Quick Assist（快速协助工具），以此尝试获取远程访问权限。

网络安全公司Resecurity的研究人员在一次事件响应过程中发现了PDFSider，并将其描述为一款用于长期隐蔽访问的后门程序，同时指出该恶意软件具备“高级持续性威胁攻击常用的典型特征”。

利用合法 EXE，搭载恶意 DLL

Resecurity的发言人向BleepingComputer透露，PDFSider 已被证实用于Qilin勒索软件的攻击行动。此外，该公司威胁狩猎团队指出，这款后门程序目前已被多个勒索软件攻击团伙作为投放恶意载荷的工具，处于活跃使用状态。

PDFSider后门程序通过鱼叉式网络钓鱼邮件传播，邮件中附带一个压缩包，内含经过数字签名的合法软件——来自 Miron Geek Software GmbH的PDF24 Creator工具，同时还包含一个恶意DLL文件（cryptbase.dll），而该DLL正是该应用正常运行所需的组件。

当EXE文件运行时，会加载攻击者提供的DLL文件，这种技术被称为DLL侧加载（DLL side-loading），从而实现系统上的代码执行。

在部分攻击案例中，攻击者还会使用诱饵文档，将恶意文件伪装成与目标高度相关的内容，诱导收件人主动打开。

一旦被执行，DLL 将以加载它的 EXE 文件的权限运行。

Resecurity 解释称：“该EXE文件具有合法签名，但 PDF24软件本身存在漏洞，攻击者能够利用这些漏洞加载恶意代码，并有效绕过EDR系统。”

研究人员表示，随着AI编程技术的兴起，网络犯罪分子如今能够更轻易地找到存在漏洞的软件，并加以利用实施攻击。

内存驻留、DNS 通信与强加密

PDFSider直接加载至内存中运行，几乎不在磁盘上留下痕迹，并通过匿名管道借助CMD执行命令。

每一台受感染主机都会被分配一个唯一标识符，系统信息随后通过DNS（53端口）被外泄至攻击者控制的VPS服务器。

PDFSider使用Botan 3.0.0加密库和AES-256-GCM来保护其命令与控制通信，并在内存中对接收到的数据进行解密，以尽量减少在主机上的可见痕迹。

此外，其数据还通过GCM模式下的AEAD（带关联数据的认证加密）进行完整性验证。

Resecurity 指出：“这种加密实现方式通常出现在定向攻击中使用的远程 Shell 恶意软件里，在这类攻击中，通信的完整性与机密性至关重要。”

反分析与长期潜伏能力

该恶意软件还具备多种反分析机制，例如检测内存大小、识别调试器环境，一旦发现运行于沙箱或分析环境中，便会提前退出。

综合分析后，Resecurity 认为，PDFSider “更接近于间谍活动所使用的技术，而非单纯以经济利益为目的的恶意软件”。它被设计为一种高度隐蔽的后门工具，能够维持长期、隐秘的访问，并提供灵活的远程命令执行能力与加密通信机制。