文章总结： Resecurity发现新型PDFSider恶意软件通过DLL侧加载技术利用PDF24工具合法可执行文件加载恶意cryptbase.dll，已部署于财富100强金融公司网络。该后门采用AES-256-GCM加密通信、内存执行、反沙箱机制，通过DNS外泄数据，被多个勒索软件组织积极利用，具有APT级隐蔽性和长期潜伏能力，建议企业加强邮件过滤、DLL加载监控和EDR防御。 综合评分： 78 文章分类： 恶意软件,漏洞分析,应急响应,威胁情报,勒索软件

新型 PDFSider Windows 恶意软件已部署在财富 100 强公司的网络中

Rhinoer Rhinoer

犀牛安全

2026年2月7日 00:01 北京

针对一家财富 100 强金融公司的勒索软件攻击者使用了一种名为 PDFSider 的新型恶意软件，在 Windows 系统上投放恶意载荷。

攻击者利用社会工程手段，冒充技术支持人员，试图获取远程访问权限，并诱骗公司员工安装微软的快速助手工具。

网络安全公司 Resecurity 的研究人员在一次事件响应中发现了 PDFSider，并将其描述为用于长期访问的隐蔽后门，指出它表现出“通常与 APT 攻击手段相关的特征”。

合法的 .EXE 文件，恶意的 .DLL 文件

Resecurity 的一位发言人告诉 BleepingComputer，PDFSider 已被发现用于麒麟勒索软件攻击。然而，该公司的威胁狩猎团队指出，该后门已被多个勒索软件攻击者“积极利用”来启动其恶意程序。

PDFSider 后门程序通过鱼叉式网络钓鱼邮件传播，这些邮件包含一个 ZIP 压缩包，其中包含 Miron Geek Software GmbH 提供的 PDF24 Creator 工具的合法、经过数字签名的可执行文件。然而，该压缩包还包含一个恶意版本的 DLL 文件（cryptbase.dll），而该应用程序需要此文件才能正常运行。

当可执行文件运行时，它会加载攻击者的 DLL 文件（一种称为 DLL 侧加载的技术），从而在系统上执行代码。

在其他情况下，攻击者会使用看似专门针对目标收件人定制的诱饵文档，试图诱骗电子邮件收件人打开恶意文件。例如，他们曾冒用中国政府机构作为邮件作者。

DLL 启动后，将以加载它的可执行文件的权限运行。

Resecurity 解释道：该 EXE 文件具有合法签名；然而，PDF24 软件存在漏洞，攻击者能够利用这些漏洞加载此恶意软件并有效地绕过 EDR 系统 。

研究人员表示，由于人工智能驱动的编码技术的兴起，网络犯罪分子更容易找到可被利用的漏洞软件。

PDFSider 直接加载到内存中，留下的磁盘痕迹极少，并且使用匿名管道通过 CMD 启动命令。

受感染的主机被分配一个唯一的标识符，系统信息被收集并通过 DNS（端口 53）泄露到攻击者的 VPS 服务器。

PDFSider 使用 Botan 3.0.0 加密库和 AES-256-GCM 进行加密，从而保护其命令与控制 (C2) 交换，并在内存中解密传入数据，以最大限度地减少其对主机的影响。

此外，数据采用 GCM 模式下的关联数据认证加密 (AEAD) 进行认证。

Resecurity 指出：这种加密实现方式是定向攻击中使用的远程 shell 恶意软件的典型特征，在这些攻击中，维护通信的完整性和机密性至关重要。

该恶意软件还具有多种反分析机制，例如 RAM 大小检查和调试器检测，以便在检测到在沙箱中运行的迹象时提前退出。

根据 Resecurity 的评估，PDFSider 更像是“间谍活动而非以经济利益为目的的恶意软件”，它被设计成一个隐蔽的后门，可以维持长期的秘密访问，并提供灵活的远程命令执行和加密通信。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《新型 PDFSider Windows 恶意软件已部署在财富 100 强公司的网络中》