Squidloader, güvenlik önlemlerinden kaçınmak için sıfıra yakın tespiti ile gizli kötü amaçlı yazılımları dağıtıyor

Finans endüstrisi için endişe verici olan daha önce duyulmamış gizliliğe sahip Hong Kong kurumlarına aktif olarak giren yeni bir Squidloader kötü amaçlı yazılım varyantı ortaya çıktı.

Bu sofistike yükleyici, Virustotal gibi platformlarda sıfıra yakın algılama oranları elde eder, uzak erişim için kobalt grev işaretlerini dağıtmak için karmaşık anti-analiz, anti-sandbox ve anti-debugging mekanizmalarından yararlanır.

Kötü amaçlı yazılımın saldırı zinciri, Mandarin’deki mızrak aktı e-postaları ile başlar, meşru finansal yazışmalar olarak gizlenmiş, bir Microsoft Word belgesi veya benign amdrsserv.exe olarak bir PE ikili eklemesini çıkaran şifre korumalı RAR arşivleri içerir.

Yürütme üzerine Squidloader, Winmain’e ulaşmadan önce kötü niyetli operasyonlar başlatmak için CRT prologunda __scrt_common_main_seh işlevini ele geçirerek kendisini C: \ \ Users \ public \ setup_xitgutx.exe olarak değiştirir.

Gelişmiş Kırılma Taktikleri

Teknik diseksiyon çok aşamalı bir enfeksiyon sürecini ortaya çıkarır. İlk ambalaj açma aşaması, 0xf4 ile XOR aracılığıyla paketlenmiş baytları belirlemek için basit ama etkili bir döngü kullanır, ardından 19 ekleyerek, sonraki yükleri açığa çıkarır.

İkinci aşama, API’leri ntdll.dll ve Kernel32.dll’den dinamik olarak çözmek için PEB yürüyüşünü içerir, API adları statik izleri silmek için xored ve üzerine yazılmıştır.

Özel bir yığın yapısı depolar, kolay erişim için kullanılmayan bir PEB bölümünde kaydedilen işaretçileri, bayrakları ve PEB/TEB adreslerini çözerken, koşullu atlamalar yoluyla ağır kontrol akışı gizlenmesi ters mühendisliği karmaşıklaştırır.

Üçüncü aşama, “Abby” veya “Walker” a karşı kullanıcı adlarını doğrulamak ve işlem görüntüsünün yer değiştiren yolla eşleşmesini sağlamak gibi sandbox karşıtı kontrollerle kaçmayı artırır.

Windows Defender için MSMPeng.exe dahil olmak üzere OLLYDBG (Olldbg.exe olarak yanlış yazılmış), x64dbg.exe, Ida Pro ve antivirüs süreçleri gibi kara liste araçlarına NTQuerySysteminformation yoluyla işlemleri numaralandırır.

NTQueryInformationProcess (0x1E) gibi belgelenmemiş syscall’lar hata ayıklama nesnelerini algılar ve ntQuerysysteminformasyon (0x23) bayraklar çekirdeği hata ayıklayıcıları, anomaliler ortaya çıkarsa öz sonunu tetikler.

Yeni bir anti-emülasyon hilesi uzun süre uyuyan bir iş parçacığı (Sleepex aracılığıyla 16 dakika) oluşturur, veri yapısında bir bayrak ayarlamak için ntqueueapcthread ile bir APC sırası oluşturur ve yürütmeyi doğrulamak için ntwaitforsingleObject kullanır; Emülatörlerde veya kancalı kum havuzlarında yaygın olan sapmalar, sonlandırmaya neden olur.

Ek önlemler arasında Microsoft emülatör algılama için ntisprocessinjob, dinamik dize gizleme ve otomatik analizi folyolamak için kullanıcı-etkileşimden istenen Mandarin hata mesaj kutusu (“dosya bozuk ve açılamıyor”) bulunur.

C2 Entegrasyonu

Tevsör sonrası, Squidloader C2 sunucusuna hxxps: //39.107.156.136/api/v1/namespaces/kube-system/services gibi uç noktalarda temasa geçer, kubernetes trafiğini karıştırmak için taklit eder.

Ana bilgisayar ayrıntılarını iletir IP, kullanıcı adı, işletim sistemi sürümü, PID, Yönetici Durumu Cobalt Strike Beacon Shellcode’u bellekte indirip yürütmeden önce, kalıcılık için 182.92.239.24 gibi ikincil C2’lere bağlanır.

Benzer düşük tespit edilen örnekler, Kubernetes temalı URL’leri paylaşarak Singapur, Çin ve Avustralya’yı hedefliyor ve coğrafi uyarlamalarla koordineli bir kampanyayı gösteriyor.

31 Mart 2025 tarihli kimlik avı e -postaları, sosyal mühendisliğin rolünün altını çizen şifreli eklerle (şifre: 20250331) tahvil kayıt formları olarak poz veriyor.

Bu kötü amaçlı yazılımların seyrek tespitleri ve gelişmiş teknikleri, finansal kuruluşları IOC’leri izlemeye ve davranışsal savunmaları geliştirmeye çağırarak ciddi riskler oluşturmaktadır.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.