Hong Kong’un finans sektörü, neredeyse hiç antivirüs bayrakları olmadan geleneksel savunmaları geçen yeni bir Squidloader örnekleri dalgalanmasıyla mücadele ediyor.
İlk olarak Temmuz 2025’in başlarında tespit edilen yükleyici, basitleştirilmiş Çince yazılmış ve meşru tahvil kayıt evrakları olarak maskelenen şifre korumalı RAR ekleri taşıyan dikkatle ifade edilmiş mızrak-aktı e-postaları aracılığıyla gelir.
Kullanıcı arşivi çıkardığında ve bir Microsoft Word simgesi gibi görünen şeyleri çift tıkladığında, yürütme AMD’nin amdrsserv.exe’ye benzemek için tasarlanmış kötü niyetli bir PE dosyasına döner ve sessizce uzlaşma için zemin hazırlar.
Bu sahte yürütülebilir dosyanın içinde, Winmain () ‘a ulaşılmadan çok önce kontrol CRT epilogunda gizlice ele geçirilir ve Squidloader’ın kendini paketlemesine ve çok aşamalı enfeksiyon zincirini aydınlatmasına izin verir.
.webp)
Trellix analistleri, bu ilk aşamanın 78.469 paketlenmiş bayt boyunca tekrarladığını, bir XOR 0XF4 işlemi uyguladığını ve yükleyicinin gerçek kodunu ortaya çıkarmak için her bir değere 19 eklediğini belirtti.
for(size_t i = 0; i < 78469; ++i){
packed[i] = (packed[i] ^ 0xF4) + 19;
}Yükün çözülmesiyle, Aşama 2, NTDLL.dll ve Kernel32.dll'yi bulmak için işlem ortamı bloğunu yürür, API'ların puanlarını dinamik olarak çözer ve adresi, plus iplik, PEB ve TEB meta verileri - işaretçisi kullanılmayan PEB bellesinin içinde gizlenmiş özel bir yığın yapısında saklar.
Bu taktik el, statik telleri ortadan kaldırır ve imza tabanlı avcıları engeller.
Trellix araştırmacıları, Squidloader'ın nihai hedefini, 182.92.239.24'te ikincil becon konakçıya teslim edilmeden önce, 39.107.156.136/api/v1/isimsellikler/kube-system/namespaces/kube-system/hizmetleri gibi değişen bir kobalt grev işaretinin bellek içi lansmanı olarak tanımladılar.
Mağdurlar için sonuç, güvenlik ekipleri ihlallere kör kalırken normal HTTPS trafiğiyle sorunsuz bir şekilde karışan gizli uzaktan erişimdir.
Tespit Kaçma Taktikleri
Yükleyicinin en ustaca hileleri, kum havuzunu ve canlı hata ayıklamayı hayal kırıklığına uğratan kapsamlı anti-analiz rutinleri etrafında dönüyor.
Aşama 3'ün başlarında, Squidloader belgelenmemiş SystemKerneldebugGerinformasyon seçicisi ile ntQuerySystEminformation'ı çağırır; Herhangi bir sıfır olmayan dönüş kodu bir çekirdek hata ayıklayıcı sinyal verir ve kendini yok etmeyi tetikler.
Daha sonra, MSMPeng.exe ve Kav.exe gibi ortak AV ajanları ile birlikte, olldbg.exe'den x64dbg.exe'ye kadar bir çamaşırhane listesi listesi ile SystemProcessInformation aracılığıyla çalışma işlemlerini numaralandırır; Herhangi bir hedefin tespiti tekrar sona erdirme sağlar.
Özellikle dikenli bir iş parçacığı/APC hilesi, 1.000.000 ms uyuyan, bir APC'yi kendisine sıralayan bir işçi iş parçacığını döndürür ve uyku () veya Mishandle Teslimatını hızlandıran emülatörler, beklenmedik ntstatus değerlerini hızlandırır ve kötü amaçlı yazılımların analistlerin eklenmesinden önce çıkmasına neden olur.
Son olarak, bir Mandarin dili mesaj kutusu-“Dosya bozuk ve açılamıyor”-GUI kontrolünden yoksun otomatik kum havuzlarını atlamanın basit ama etkili bir yolu olan kullanıcı etkileşimini denetler.
Birlikte, bu katmanlar, olayların yanıt verenlerin bir işaretin eve çağırdığını fark ettiğinde, Squidloader'ın sonarın altına ve denize çıkmasını sağlar.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi