Kampania z użyciem złośliwego oprogramowania SquidLoader atakuje firmy finansowe w Hongkongu
Centrum Badań Zaawansowanych Trellix ujawniło nową falę wysoce zaawansowanego złośliwego oprogramowania SquidLoader, aktywnie atakującego instytucje finansowe w Hongkongu . To odkrycie, szczegółowo opisane w analizie technicznej Trellix , udostępnionej serwisowi Hackread.com, wskazuje na poważne zagrożenie ze względu na niemal zerowy wskaźnik wykrywalności tego złośliwego oprogramowania w serwisie VirusTotal w momencie analizy. Dowody wskazują również na szerszą kampanię, a podobne próbki zaobserwowano w odniesieniu do podmiotów w Singapurze i Australii.
Atak rozpoczyna się od wiadomości e-mail typu spear phishing napisanych w języku mandaryńskim, precyzyjnie spreparowanych w celu podszywania się pod instytucje finansowe. Wiadomości te zawierają chronione hasłem archiwum RAR zawierające złośliwy plik wykonywalny. Sama treść wiadomości e-mail jest kluczowa dla oszustwa, ponieważ zawiera hasło do załącznika. Temat wiadomości często brzmi: „Formularz rejestracyjny dla inwestorów Bond Connect obsługujących transakcje walutowe za pośrednictwem banków zagranicznych”.
W e-mailu rzekomo znajduje się przedstawiciel finansowy, z prośbą o sprawdzenie i potwierdzenie załączonego „skanu formularza rejestracyjnego firmy zajmującej się wymianą walut w ramach Bond Connect”. Plik jest sprytnie zamaskowany, nie tylko imitując ikonę dokumentu Microsoft Word , ale także fałszywie przejmuje właściwości legalnego pliku AMDRSServ.exe , aby ominąć wstępną kontrolę.
Po uruchomieniu SquidLoader wyzwala złożoną, pięcioetapową infekcję. Najpierw rozpakowuje swój główny ładunek, a następnie nawiązuje kontakt z serwerem Command and Control ( C2 ) za pomocą ścieżki URL, która naśladuje legalne usługi Kubernetes (np. /api/v1/namespaces/kube-system/services ), aby wtopić się w normalny ruch sieciowy.
Ta początkowa komunikacja C2 przesyła operatorom krytyczne informacje o hoście, takie jak adres IP, nazwa użytkownika, nazwa komputera i wersja systemu Windows. Na koniec złośliwe oprogramowanie pobiera i uruchamia Cobalt Strike Beacon, który następnie nawiązuje połączenie z dodatkowym serwerem C2 pod innym adresem (np. 182.92.239.24 ), zapewniając atakującym stały zdalny dostęp.
Kluczowym powodem zagrożenia SquidLoadera jest jego rozbudowany zestaw technik antyanalizy, antysandboxingu i antydebugowania. Obejmują one sprawdzanie konkretnych narzędzi analitycznych, takich jak IDA Pro ( ida.exe ) lub Windbg ( windbg.exe ), oraz popularnych nazw użytkowników sandboxingu .
Co godne uwagi, wykorzystuje on wyrafinowaną sztuczkę wątkową, obejmującą długie okresy uśpienia i asynchroniczne wywołania procedur (APC), aby wykrywać i omijać emulowane środowiska. Jeśli wykryje jakąkolwiek próbę analizy, złośliwe oprogramowanie samo się zamyka. Po sprawdzeniu wyświetla zwodniczy komunikat w języku mandaryńskim: „Plik jest uszkodzony i nie można go otworzyć”, wymagający interakcji użytkownika, co może uniemożliwić działanie zautomatyzowanych piaskownic.
„Jego skomplikowane techniki przeciwdziałania analizie, przeciwdziałania piaskownicy i przeciwdziałania debugowaniu, w połączeniu z niskim wskaźnikiem wykrywania, stanowią poważne zagrożenie dla organizacji będących celem ataku” – podkreślili badacze Trellix w swoim raporcie .
Obserwowane ataki w wielu krajach podkreślają globalny charakter tego rozwijającego się zagrożenia, co skłania instytucje finansowe na całym świecie, a w szczególności w Hongkongu, Singapurze i Australii, do zwiększenia bezpieczeństwa przed tak niezwykle nieuchwytnymi przeciwnikami.
HackRead
