Ransomware Saldırıları ve PDFSider Tehdidi
Finans sektöründe faaliyet gösteren büyük bir Fortune 100 şirketine yönelik yapılan ransomware saldırıları, yeni bir kötü amaçlı yazılım türü olan PDFSider’ın kullanılmasıyla gerçekleşti. Bu durum, siber güvenlik camiasında önemli bir tehdit alarmı olarak değerlendiriliyor.
Saldırı Nasıl Çalışıyor?
PDFSider, CVE kodu belirtilmeden, özellikle sosyal mühendislik yöntemleriyle şirket çalışanlarının Microsoft’un Quick Assist aracını yüklemesini sağlamaya yönelik planlar dahilinde kullanılmıştır. Resecurity araştırmacıları, PDFSider’ı uzun süreli erişim sağlamak için gizli bir arka kapı olarak tanımlamaktadır ve “APT ticaretine özgü özellikler göstermektedir” ifadesinde bulunmuşlardır.
PDFSider, bir ZIP arşiviyle gelen hedefe özel bir e-posta aracılığıyla dağıtılmaktadır. Bu arşiv, Miron Geek Software GmbH’den gelen PDF24 Creator aracının yasal, dijital olarak imzalanmış bir çalıştırılabilir dosyası ile birlikte, saldırganların kötü amaçlı DLL dosyasını (cryptbase.dll) içermektedir.
Saldırıya maruz kalan sistemde, çalıştırılabilir dosya çalıştırıldığında, saldırganın DLL dosyası yüklenecek ve bu durum DLL side-loading tekniği ile kod yürütme sağlar.
Etkilenen Sistemler
Saldırganlar, kurbanlarından uygun bir yanıt almak için, hedefe özel olarak tasarlanmış sahte belgeler kullanarak tepkileri manipüle etmeyi amaçlarlar. Örneğin, saldırganlar Çin hükümeti kurumunu yazar olarak göstermiştir. DLL yüklendiğinde, çalıştırılabilir dosyanın sahip olduğu yetkilerle çalıştırılır.
Resecurity, PDF24 yazılımının belirli açıklar içerdiğini ve bu açıkların saldırganların bu kötü amaçlı yazılımı yükleyip EDR sistemlerini atlatmalarına olanak tanıdığını belirtmektedir.
Çözüm ve Korunma
PDFSider, bellek üzerinde doğrudan çalıştığı için, disk üzerindeki izlerini en aza indirmekte ve anonim borular kullanarak komutları CMD aracılığıyla yürütmektedir.
PDFSider ile enfekte olan sistemler, benzersiz bir tanımlayıcı alır ve sistem bilgileri saldırganın VPS sunucusuna DNS (port 53) aracılığıyla gönderilir. Ayrıca, PDFSider komut ve kontrol (C2) iletişimini Botan 3.0.0 kriptografi kütüphanesini ve AES-256-GCM şifrelemesi kullanarak korur.
Bununla birlikte, bu kötü amaçlı yazılımın analizi engellemek için RAM boyutu kontrolü ve hata ayıklayıcı tespit mekanizmaları gibi birkaç anti-analiz mekanizması içermektedir.
Sonuç
PDFSider, “finansal motivasyonlu kötü amaçlı yazılımlar” yerine “casusluk becerilerine” daha yakın bir yapıdadır. Uzun vadeli gizli erişim ve esnek uzaktan komut yürütme özellikleri sunarak, şirketlerin siber güvenliğini tehdit etmektedir.
Okuyuculara tavsiyemiz, PDF24 yazılımını mutlaka güncellemeniz ve saldırı vektörlerini en aza indirmek için gereksiz portları kapatmanızdır. Ayrıca, güvenliği artırmak için memnuniyetle geçerli güncellemelerinizi uygulamanız kritik bir öneme sahiptir.
