Trellix揭露了针对香港、新加坡和澳大利亚金融服务机构的SquidLoader恶意软件。了解其先进的规避策略和隐秘攻击。

Trellix高级研究中心发现了新一波高度复杂的SquidLoader恶意软件，该恶意软件正积极攻击香港的金融服务机构。Trellix的技术分析报告详细阐述了这一发现并分享。由于在分析期间，该恶意软件在VirusTotal上的检测率接近于零，因此该恶意软件的威胁性极高。证据还表明，该恶意软件的攻击活动范围更广，在新加坡和澳大利亚也发现了类似的样本。

攻击始于用普通话撰写的鱼叉式网络钓鱼邮件，这些邮件经过精心设计，旨在冒充金融机构。这些邮件会发送一个受密码保护的RAR压缩包，其中包含恶意可执行文件。邮件正文本身对于欺骗至关重要，因为它提供了附件的密码。邮件主题通常伪装成“债券通投资者通过境外银行办理外汇业务登记表”。

该邮件声称来自一位金融代表，要求收件人检查并确认附件中的“债券通投资者外汇业务登记表扫描件”。该文件经过巧妙伪装，不仅模仿了Microsoft Word文档的图标，还冒充了合法文件的属性AMDRSServ.exe，以绕过初步审查。

SquidLoader执行后会释放复杂的五阶段感染。它首先解压核心负载，然后使用模仿合法Kubernetes服务（例如）的URL路径与命令和控制(C2 /api/v1/namespaces/kube-system/services) 服务器建立联系，以与正常网络流量混合。

此初始C2通信会将关键主机信息（包括IP地址、用户名、计算机名称和Windows版本）传回给其操作员。最终，恶意软件会下载并执行Cobalt Strike Beacon，然后与位于不同地址（例如 ）的辅助C2服务器建立连接182.92.239.24，从而授予攻击者持久的远程访问权限。

SquidLoader危险的一个关键原因是其广泛的反分析、反沙盒和反调试技术。这些技术包括检查IDA Pro(ida.exe)或Windbg(windbg.exe)等特定分析工具以及常见的沙盒用户名。

值得注意的是，它采用了一种复杂的线程技巧，包括较长的休眠时间和异步过程调用(APC)，以检测并规避模拟环境。一旦检测到任何分析尝试，该恶意软件就会自行终止。检查完成后，它会弹出一条带有欺骗性的普通话弹窗：“该文件已损坏，无法打开”，要求用户进行交互，从而阻止自动沙盒检测。

Trellix研究人员在报告中强调：“其复杂的反分析、反沙盒和反调试技术，加上其稀疏的检测率，对目标组织构成了重大威胁。”

在多个国家观察到的攻击行为凸显了这一不断演变的威胁的全球性，敦促世界各地的金融机构，特别是香港、新加坡和澳大利亚的金融机构，加强对此类高度规避对手的安全防范。