一场被称为 HollowQuill 的复杂恶意软件攻击活动，已成为对全球学术机构和政府机构的重大威胁。

此次攻击利用了经过伪装的恶意 PDF 文档，这些文档伪装成研究论文、科研经费申请或政府官方文件，诱使毫无防备的受害者启动感染链。

该恶意软件采用了先进的社会工程学策略来提高其攻击成功率，制作出令人信服的诱饵文档，即使是具备安全意识的用户也会认为这些文档是合法的。

一旦打开，这些看似无害的 PDF 文件就会触发一个复杂的多阶段感染过程，该过程旨在躲避检测的同时实现持续驻留。

Broadcom 的分析师们认为，这一攻击活动特别值得关注，因为其具有针对性，并且采用了复杂的规避检测技术。

他们的研究表明，攻击者很可能是出于间谍活动的目的，在追寻政府和学术机构的敏感数据。

这次攻击展示出了极高的技术复杂性，首先是分发包含一个基于.NET 的恶意软件释放器的恶意 RAR 压缩档案。

这一初始的入侵行为会导致部署多个恶意负载，其中包括一个合法的 OneDrive 应用程序，该程序可帮助恶意软件混入正常的系统操作中。

感染机制

当用户打开看似合法的 PDF 文档时，HollowQuill 的感染链便开始启动。

在幕后，初始的释放器会执行并部署一个基于 Go 语言的 shellcode 加载器，该加载器负责在内存中执行主要的恶意负载，这大大降低了被传统安全解决方案检测到的几率。

这种复杂的机制使攻击者能够在从被入侵的系统中提取敏感信息的同时，保持恶意软件的持续驻留。

// 基于.NET 的初始释放器代码的简化表示

public static void DeployPayload () {

string legitApp = “OneDrive.exe”;

byte [] shellcodeLoader = GetEncryptedPayload ();

// 部署合法应用程序作为掩护

File.WriteAllBytes (Environment.GetFolderPath (Environment.SpecialFolder.ApplicationData)

“\” + legitApp, GetLegitApp());

// 使用经过混淆处理的参数执行 shellcode 加载器

ExecuteInMemory (Decrypt (shellcodeLoader, GetSystemKey ()));
}
建议采取的防御措施包括禁用办公软件宏脚本、实施应用程序白名单策略，以及监控 DNS 查询异常情况，以应对这一不断演变的威胁形势。