Trellix Advanced Araştırma Merkezi, Hong Kong’daki finansal hizmetler kurumlarını aktif olarak hedefleyen yeni bir squidloader kötü amaçlı yazılım dalgası açmıştır. Trellix’in teknik analizinde detaylandırılan bu keşif, hackread.com ile paylaşılan bu keşif, analiz sırasında kötü amaçlı yazılımın sıfıra yakın tespit oranları nedeniyle önemli bir tehdidi vurgulamaktadır. Kanıtlar ayrıca daha geniş bir kampanyaya işaret ediyor ve benzer örnekler Singapur ve Avustralya’da hedefleme varlıkları gözlemliyor.
Gizli bir saldırı
Saldırı, Mandarin’de yazılmış ve finansal kurumları taklit etmek için doğru bir şekilde hazırlanmış mızrak aktı e-postalarıyla başlar. Bu e-postalar, kötü amaçlı bir yürütülebilir dosyayı içeren şifre korumalı bir RAR arşivi sunar. E -posta gövdesinin kendisi, ek için şifre sağladığı için aldatma için çok önemlidir. Konu çizgisi genellikle “denizaşırı bankalar aracılığıyla döviz işini ele alan Bond Connect yatırımcılarının kayıt formu” olarak poz vermektedir.
E -posta, alıcıdan “Bond Connect Yatırımcı Döviz Ticareti Kayıt Formunun taranan kopyasını” kontrol etmesini ve onaylamasını isteyen bir finansal temsilciden geldiğini iddia ediyor. Bu dosya kurnazca gizlenir, sadece bir Microsoft Word belge simgesini taklit etmekle kalmaz, aynı zamanda bir meşruun dosya özelliklerini yanlış bir şekilde benimsemek AMDRSServ.exe İlk incelemeyi atlamak için.
Uygulama üzerine, Squidloader karmaşık beş aşamalı bir enfeksiyonu açığa çıkarır. Önce temel yükünü açar, ardından meşru Kubernetes hizmetlerini taklit eden bir URL yolu kullanarak bir komut ve kontrol (C2) sunucusu ile teması başlatır (örn. /api/v1/namespaces/kube-system/services) normal ağ trafiği ile karışmak için.
Bu ilk C2 iletişimi, IP adresi, kullanıcı adı, bilgisayar adı ve Windows sürümü dahil kritik ana bilgisayar bilgilerini operatörlerine geri aktarır. Son olarak, kötü amaçlı yazılım, daha sonra farklı bir adreste ikincil bir C2 sunucusuna bağlantı kuran bir Cobalt Strike Beacon’u indirir ve yürütür (örn., 182.92.239.24), saldırganlara kalıcı uzaktan erişim vermek.
Kaçınma taktikleri ve küresel çıkarımlar
Squidloader’ın tehlikesinin temel bir nedeni, kapsamlı anti-analiz, sandbox ve anti-tahripleme teknikleridir. Bunlar IDA Pro gibi belirli analiz araçlarını kontrol etmeyi içerir (ida.exe) veya windbg (windbg.exe) ve ortak kum havuzu kullanıcı adları.
Özellikle, taklit ortamları tespit etmek ve kaçınmak için uzun uyku süreleri ve eşzamansız prosedür çağrıları (APC’ler) içeren sofistike bir iplik hile kullanır. Herhangi bir analiz girişimini tespit ederse, kötü amaçlı yazılım kendi kendini belirler. Kontrollerinden sonra, Mandarin’de aldatıcı bir açılır mesaj görüntüler: “Dosya bozuk ve açılamaz”, otomatik kum havuzlarını engelleyebilecek kullanıcı etkileşimi gerektirir.
Trellix araştırmacıları raporlarında “Karmaşık anti-analizi, anti-sandbox ve anti-kötü niyetli teknikleri, seyrek algılama oranlarıyla birleştiğinde hedeflenen kuruluşlar için önemli bir tehdit oluşturuyor” dedi.
Birçok ülkede gözlemlenen hedefleme, bu gelişen tehdidin küresel doğasını vurgulamakta ve özellikle Hong Kong, Singapur ve Avustralya’da dünya çapında finansal kurumları bu kadar çok kaçınılan rakiplere karşı güvenliklerini artırmaya çağırıyor.