금융권 Fortune 100 기업을 대상으로 한 랜섬웨어 공격에서, 공격자들은 PDFSider라는 새로운 악성코드를 사용하여 Windows 시스템에 악성 페이로드를 전달하였습니다. 이들은 기술 지원 직원을 사칭하는 사회공학 기법을 통해 Microsoft의 Quick Assist 도구 설치를 유도하며 원격 접근을 시도하였습니다. Resecurity의 연구진은 사고 대응 과정에서 PDFSider를 발견하였으며, 이 악성코드는 장기적인 은밀한 접근을 위한 백도어로, APT 공격에서 흔히 볼 수 있는 특성을 지니고 있다고 평가하였습니다.
PDFSider는 주로 스피어피싱 이메일을 통해 유포되며, 이메일에는 Miron Geek Software GmbH의 PDF24 Creator의 정상 실행 파일과 함께 악성 DLL(cryptbase.dll)이 포함된 ZIP 파일이 첨부됩니다. 실행 파일이 동작하면 공격자의 DLL이 로드되는 DLL 사이드로딩 기법이 사용되어, 시스템에서 악성 코드가 실행됩니다. 이 과정에서 공격자는 표적에 맞춘 미끼 문서를 활용하기도 하며, PDF24 소프트웨어의 취약점을 악용해 EDR 시스템을 우회합니다. PDFSider는 메모리 상에서 직접 로드되어 흔적을 최소화하고, 익명 파이프를 통해 명령을 실행하며, 감염된 호스트의 정보를 수집해 DNS를 통해 공격자의 서버로 전송합니다.
이 악성코드는 Botan 3.0.0 암호화 라이브러리와 AES-256-GCM을 사용해 C2 통신을 암호화하고, AEAD를 통해 데이터 무결성을 보장합니다. 또한, RAM 용량 확인, 디버거 탐지 등 다양한 분석 회피 기법을 갖추고 있습니다. Resecurity는 PDFSider가 금전적 목적의 악성코드라기보다는 첩보 활동에 가까운 정교한 백도어로, 장기적이고 은밀한 접근 및 유연한 원격 명령 실행, 암호화된 통신을 제공한다고 평가하였습니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.