LevelBlue Labs(前身为 AT&T Alien Labs)报告称,最近发现的一种名为 SquidLoader 的恶意软件加载器与一个未知的黑客组织有关,该组织两年来一直以中文受害者为目标。
LevelBlue Labs 最近发现了一种新型高度规避检测的加载程序,该加载程序通过网络钓鱼附件传送给特定目标。加载程序是一种恶意软件,用于将第二阶段有效负载恶意软件加载到受害者的系统中。
由于缺乏在野外观察到的先前样本,LevelBlue Labs 将此恶意软件命名为“SquidLoader”,因为它明显具有诱饵和规避作用。
在分析 LevelBlue Labs 检索到的样本后,研究人员发现 SquidLoader 正在使用几种技术来避免被静态或动态分析。LevelBlue Labs 于 2024 年 4 月下旬首次在活动中观察到 SquidLoader,研究人员评估在此之前至少已经活跃了一个月。
2024 年 4 月下旬,LevelBlue Labs 观察到一些可能附加在钓鱼电子邮件中的可执行文件。观察到的样本之一是“914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635”,其中文文件名翻译为“华为工业级路由器相关产品介绍和优秀客户案例”。
LevelBlue Labs 观察到的所有样本都以中国公司命名,例如:中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所 (YRCTI)。所有样本都有描述性文件名,旨在引诱员工打开它们,它们带有与 Word 文档相对应的图标,但实际上是可执行二进制文件。
这些样本是加载程序,它们通过对 /flag.jpg URI 的 GET HTTPS 请求下载并执行 shellcode 有效负载。这些加载程序具有强大的规避和诱饵机制,可帮助它们保持不被发现,同时也妨碍分析。传递的 shellcode 也加载在同一加载程序进程中,很可能是为了避免将有效负载写入磁盘,从而避免被发现的风险。
LevelBlue 解释道:“由于在此加载器中观察到的所有诱饵和逃避技术,以及之前没有类似的样本,LevelBlue 实验室将此恶意软件命名为‘SquidLoader’。”
已识别的 SquidLoader 样本已使用合法(尽管已过期)证书进行签名,并会连接到使用自签名证书的命令和控制 (C&C) 服务器。
LevelBlue Labs 观察到的大多数样本都使用合法的过期证书来使文件看起来不那么可疑。无效证书(于 2021 年 7 月 15 日到期)颁发给杭州英格科技有限公司。
它的指纹为“3F984B8706702DB13F26AE73BD4C591C5936344F”,序列号为“02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB”。然而,这并不是用于签署恶意样本的唯一无效证书。
SquidLoader 使用的命令和控制 (C&C) 服务器采用自签名证书。在本次调查过程中,所有发现的 C&C 服务器均使用包含以下字段的证书,包括颁发者和主体:
通用名称:localhost
组织单位:group
组织:Company
地點:Nanjing
州/省:Jiangsu
国家:CN
样本执行后,恶意软件加载程序首先使用无害的名称将自身复制到预定义位置,这可能是一种诱饵技术。事实上,该恶意软件使用各种其他诱饵以及多种规避技术来确保自己能够躲过检测。
观察到的一些技术包括无意义或模糊的指令、加密的代码段、堆栈内的加密字符串、跳转到指令中间、返回地址混淆、控制流图 (CFG) 混淆、调试器检测和直接系统调用。
尽管文件名和图标声称是 Word 文档以欺骗受害者,但这些样本包含大量引用微信或 mingw-gcc 等流行软件产品的代码,试图误导检查文件的安全研究人员。此外,文件和 PE 元数据还带有对这些公司的引用。
这样做是为了诱使受害者相信这些产品是合法的组件。然而,这些代码永远不会被执行——因为在执行到达该点之前,执行流将转移到加载的有效载荷。
在调查过程中,LevelBlue 实验室发现该恶意软件加载器只传递了一个有效载荷,即 Cobalt Strike 信标,其配置曾在针对中文用户的多个活动中出现过。
观察到的工具、技术和程序 (TTP) 与高级持续威胁 (APT) 行为者一致,但 LevelBlue Labs 表示没有足够的数据将该威胁行为者归类为 APT。
LevelBlue Labs 表示:“鉴于 SquidLoader 在逃避检测方面取得的成功,针对中国以外人群的攻击者可能会开始模仿 SquidLoader 所使用的技术,帮助他们逃避对其独特恶意软件样本的检测和分析。”
技术报告:https://cybersecurity.att.com/blogs/labs-research/highly-evasive-squidloader-targets-chinese-organizations
新闻链接:https://www.securityweek.com/highly-evasive-squidloader-malware-targets-china/
今日安全资讯速递
APT事件
Advanced Persistent Threat
法国外交机构遭俄罗斯黑客攻击
https://thehackernews.com/2024/06/french-diplomatic-entities-targeted-in.html
极具规避性的 SquidLoader 恶意软件瞄准中国目标
https://www.securityweek.com/highly-evasive-squidloader-malware-targets-china/
一般威胁事件
General Threat Incidents
美国政府因俄罗斯的安全风险宣布禁售卡巴斯基软件
https://securityaffairs.com/164753/laws-and-regulations/us-bans-sale-of-kaspersky-products.html
黑客利用 Windows Installer (MSI) 文件来传播恶意软件
https://gbhackers.com/hackers-weaponize-windows-installer/
一种名为 Fickle Stealer 的新型 Rust 恶意软件通过各种攻击方式传播并窃取敏感信息
https://securityaffairs.com/164726/malware/fickle-stealer-attack-methods.html
Linux 版 RansomHub 勒索软件瞄准 VMware ESXi VM
https://www.bleepingcomputer.com/news/security/linux-version-of-ransomhub-ransomware-targets-vmware-esxi-vms/
“Void Arachne”利用恶意 VPN 安装程序攻击中国用户
https://thehackernews.com/2024/06/void-arachne-uses-deepfakes-and-ai-to.html
短信网络钓鱼黑帮瞄准巴基斯坦,大规模诈骗银行客户
https://securityaffairs.com/164705/cyber-crime/smishing-triad-targets-pakistan.html
麒麟勒索软件团伙攻击英国医学检测与病理实验室,勒索 5000 万美元赎金
https://www.bankinfosecurity.com/uk-pathology-lab-ransomware-attackers-demanded-50-million-a-25559
卡巴斯基的一项研究显示,攻击者可以在一分钟内猜出 45% 的密码
https://www.techedt.com/scammers-can-guess-45-of-passwords-within-one-minute-a-kaspersky-study-reveals
黑客利用武器化的 Word 文档进行二维码网络钓鱼攻击
https://cybersecuritynews.com/weaponized-documents-qr-code-phishing/
漏洞事件
Vulnerability Incidents
一名黑客正在以12万美元的价格出售 Windows 操作系统上的本地权限提升 (LPE)漏洞
https://www.zataz.com/une-vulnerabilite-zero-day-pour-windows-en-vente-pour-120-000-dollars/
Atlassian 修补了 Confluence、Crucible、Jira 中的高危漏洞
https://www.securityweek.com/atlassian-patches-high-severity-vulnerabilities-in-confluence-crucible-jira/
SolarWinds Serv-U 路径遍历漏洞被积极利用于攻击
https://www.bleepingcomputer.com/news/security/solarwinds-serv-u-path-traversal-flaw-actively-exploited-in-attacks/
安全机构警告 D-Link 路由器存在Telnet后门
https://tweakers.net/nieuws/223396/taiwanese-autoriteit-d-link-routers-hadden-telnet-backdoor.html
CosmicSting 漏洞影响 75% 的 Adobe Commerce 和 Magento 网站
https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/
未修补的漏洞允许任何人冒充微软公司电子邮件账户
https://securityaffairs.com/164675/hacking/expert-warns-of-a-spoofing-bug.html
数百种 PC、服务器型号可能受到严重 Phoenix UEFI 漏洞的影响
https://www.securityweek.com/hundreds-of-pc-server-models-possibly-affected-by-serious-phoenix-uefi-vulnerability/
原文始发于微信公众号(会杀毒的单反狗):不明黑客组织利用极具规避性的 SquidLoader 恶意软件瞄准中国目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论