HackerNews 编译,转载请注明出处:
安全研究人员近日发现针对香港金融机构的新型恶意软件攻击浪潮,其核心是名为 SquidLoader 的加载器。该隐蔽加载器会部署 Cobalt Strike Beacon,并拥有先进的抗分析策略。
Trellix 的安全研究人员在周一发布的最新报告中指出,该恶意软件被发现能规避几乎所有检测手段,对目标受害者构成极大威胁。
高度规避的多阶段攻击链
SquidLoader 攻击活动始于鱼叉式钓鱼邮件。这些用普通话编写的邮件冒充金融机构,内含伪装成发票的带密码保护的 RAR 压缩包。
用户打开压缩包后,会发现一个伪装成 Microsoft Word 文档的恶意 PE 二进制文件。该文件在视觉上具有欺骗性,同时模仿合法的 “AMDRSServ.exe” 程序以增强社会工程效果。
一旦被执行,SquidLoader 便会嵌入系统并启动多阶段感染过程:
- 自我解包以解密其内部负载通过混淆代码动态解析关键的 Windows API初始化一个基于堆栈的自定义结构来存储操作数据执行各种规避例程,旨在绕过沙箱、调试器和防病毒工具联系远程命令控制 (C2) 服务器并下载 Cobalt Strike Beacon
广泛的抗分析与规避特性
SquidLoader 的一个显著特点是其广泛的抗分析策略。它利用环境检查、字符串混淆、控制流混淆和未公开的 Windows 系统调用来隐藏自身。如果检测到任何已知的分析工具或防病毒进程(包括 “windbg.exe”、“ida64.exe” 和 “MsMpEng.exe”),该恶意软件会自行终止。
为了绕过模拟器和自动化沙箱,SquidLoader 启动具有长时间睡眠的线程,并采用异步过程调用来监控异常行为。如果任何检查失败或系统显示调试迹象,恶意软件将退出。
另一种策略是显示一条中文假错误信息:“文件损坏无法打开”,这需要用户交互,进一步阻碍自动化分析。
通过这些检查后,SquidLoader 会使用模仿 Kubernetes 服务路径的 URL 联系 C2 服务器,可能是为了混入正常的企业流量中。随后,它会收集并传输主机数据,包括用户名、IP 地址、操作系统版本和管理员状态。
最后,它从一个次级 IP 地址下载 Cobalt Strike Beacon,为攻击者提供持久的远程访问权限。
该攻击活动在地域上集中于香港的机构。然而,类似样本表明相关攻击可能也在新加坡和澳大利亚进行。
为防御诸如 SquidLoader 等威胁,组织应考虑加强电子邮件过滤、端点监控和行为分析能力。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
