文章总结： PDFSider新型后门借DLL侧加载潜入财富100强金融企业，利用签名PDF24Creator加载恶意cryptbase.dll，内存驻留、AES-256-GCM加密DNS隧道C2，支持反分析与长期潜伏，已被Qilin勒索团伙用于勒索软件攻击，建议立即排查QuickAssist社工链、禁用无关签名EXE、强化EDR内存威胁检测并修补应用加载漏洞。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,应急响应,红队

新型 PDFSider 恶意软件突袭财富 100 强金融企业

HackerNews HackerNews

安全威胁纵横

2026年1月20日 15:48 湖北

高危漏洞

紧急修复指南

RCE Patch

攻击者使用了一种名为PDFSider的新型恶意软件，在Windows系统上投放恶意载荷，针对金融行业《财富》前100强的一家企业发起勒索软件攻击。

推测e

攻击者借助社会工程学手段实施攻击。他们冒充技术支持人员，诱骗该企业员工安装微软Quick Assist（快速协助工具），以此尝试获取远程访问权限。

网络安全公司Resecurity的研究人员在一次事件响应过程中发现了PDFSider，并将其描述为一款用于长期隐蔽访问的后门程序，同时指出该恶意软件具备“高级持续性威胁攻击常用的典型特征”。

1

利用合法EXE，搭载恶意DLL

Resecurity的发言人向BleepingComputer透露，PDFSider已被证实用于Qilin勒索软件的攻击行动。此外，该公司威胁狩猎团队指出，这款后门程序目前已被多个勒索软件攻击团伙作为投放恶意载荷的工具，处于活跃使用状态。

PDFSider后门程序通过鱼叉式网络钓鱼邮件传播，邮件中附带一个压缩包，内含经过数字签名的合法软件——来自Miron Geek Software GmbH的PDF24 Creator工具，同时还包含一个恶意DLL文件（cryptbase.dll），而该DLL正是该应用正常运行所需的组件。

当EXE文件运行时，会加载攻击者提供的DLL文件，这种技术被称为DLL侧加载（DLL side-loading），从而实现系统上的代码执行。

可执行文件的有效签名

图源：Resecurity

在部分攻击案例中，攻击者还会使用诱饵文档，将恶意文件伪装成与目标高度相关的内容，诱导收件人主动打开。

一旦被执行，DLL 将以加载它的 EXE 文件的权限运行。

Resecurity 解释称：“该EXE文件具有合法签名，但 PDF24软件本身存在漏洞，攻击者能够利用这些漏洞加载恶意代码，并有效绕过EDR系统。”

研究人员表示，随着AI编程技术的兴起，网络犯罪分子如今能够更轻易地找到存在漏洞的软件，并加以利用实施攻击。

02

内存驻留、DNS通信与强加密

PDFSider直接加载至内存中运行，几乎不在磁盘上留下痕迹，并通过匿名管道借助CMD执行命令。

每一台受感染主机都会被分配一个唯一标识符，系统信息随后通过DNS（53端口）被外泄至攻击者控制的VPS服务器。

PDFSider使用Botan 3.0.0加密库和AES-256-GCM来保护其命令与控制通信，并在内存中对接收到的数据进行解密，以尽量减少在主机上的可见痕迹。

此外，其数据还通过GCM模式下的AEAD（带关联数据的认证加密）进行完整性验证。

Resecurity 指出：“这种加密实现方式通常出现在定向攻击中使用的远程 Shell 恶意软件里，在这类攻击中，通信的完整性与机密性至关重要。”

PDFSider 运行机制概览

来源：Resecurity

03

反分析与长期潜伏能力

该恶意软件还具备多种反分析机制，例如检测内存大小、识别调试器环境，一旦发现运行于沙箱或分析环境中，便会提前退出。

综合分析后，Resecurity 认为，PDFSider “更接近于间谍活动所使用的技术，而非单纯以经济利益为目的的恶意软件”。

它被设计为一种高度隐蔽的后门工具，能够维持长期、隐秘的访问，并提供灵活的远程命令执行能力与加密通信机制。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/new-pdfsider-windows-malware-deployed-on-fortune-100-firms-network/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《新型 PDFSider 恶意软件突袭财富 100 强金融企业》