LevelBlue Labs(前身为 AT&T Alien Labs)报告称,最近发现的一种名为 SquidLoader 的恶意软件加载器与一个未知的黑客组织有关,该组织两年来一直以中文受害者为目标。
LevelBlue Labs 最近发现了一种新型高度规避检测的加载程序,该加载程序通过网络钓鱼附件传送给特定目标。加载程序是一种恶意软件,用于将第二阶段有效负载恶意软件加载到受害者的系统中。
由于缺乏在野外观察到的先前样本,LevelBlue Labs 将此恶意软件命名为“SquidLoader”,因为它明显具有诱饵和规避作用。
在分析 LevelBlue Labs 检索到的样本后,研究人员发现 SquidLoader 正在使用几种技术来避免被静态或动态分析。LevelBlue Labs 于 2024 年 4 月下旬首次在活动中观察到 SquidLoader,研究人员评估在此之前至少已经活跃了一个月。
2024 年 4 月下旬,LevelBlue Labs 观察到一些可能附加在钓鱼电子邮件中的可执行文件。观察到的样本之一是“914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635”,其中文文件名翻译为“华为工业级路由器相关产品介绍和优秀客户案例”。
LevelBlue Labs 观察到的所有样本都以中国公司命名,例如:中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所 (YRCTI)。所有样本都有描述性文件名,旨在引诱员工打开它们,它们带有与 Word 文档相对应的图标,但实际上是可执行二进制文件。
这些样本是加载程序,它们通过对 /flag.jpg URI 的 GET HTTPS 请求下载并执行 shellcode 有效负载。这些加载程序具有强大的规避和诱饵机制,可帮助它们保持不被发现,同时也妨碍分析。传递的 shellcode 也加载在同一加载程序进程中,很可能是为了避免将有效负载写入磁盘,从而避免被发现的风险。
LevelBlue 解释道:“由于在此加载器中观察到的所有诱饵和逃避技术,以及之前没有类似的样本,LevelBlue 实验室将此恶意软件命名为‘SquidLoader’。”
已识别的 SquidLoader 样本已使用合法(尽管已过期)证书进行签名,并会连接到使用自签名证书的命令和控制 (C&C) 服务器。
LevelBlue Labs 观察到的大多数样本都使用合法的过期证书来使文件看起来不那么可疑。无效证书(于 2021 年 7 月 15 日到期)颁发给杭州英格科技有限公司。
它的指纹为“3F984B8706702DB13F26AE73BD4C591C5936344F”,序列号为“02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB”。然而,这并不是用于签署恶意样本的唯一无效证书。
SquidLoader 使用的命令和控制 (C&C) 服务器采用自签名证书。在本次调查过程中,所有发现的 C&C 服务器均使用包含以下字段的证书,包括颁发者和主体:
- 通用名称:localhost
- 组织单位:group
- 组织:Company
- 地點:Nanjing
- 州/省:Jiangsu
- 国家:CN
样本执行后,恶意软件加载程序首先使用无害的名称将自身复制到预定义位置,这可能是一种诱饵技术。事实上,该恶意软件使用各种其他诱饵以及多种规避技术来确保自己能够躲过检测。
观察到的一些技术包括无意义或模糊的指令、加密的代码段、堆栈内的加密字符串、跳转到指令中间、返回地址混淆、控制流图 (CFG) 混淆、调试器检测和直接系统调用。
尽管文件名和图标声称是 Word 文档以欺骗受害者,但这些样本包含大量引用微信或 mingw-gcc 等流行软件产品的代码,试图误导检查文件的安全研究人员。此外,文件和 PE 元数据还带有对这些公司的引用。
这样做是为了诱使受害者相信这些产品是合法的组件。然而,这些代码永远不会被执行——因为在执行到达该点之前,执行流将转移到加载的有效载荷。
在调查过程中,LevelBlue 实验室发现该恶意软件加载器只传递了一个有效载荷,即 Cobalt Strike 信标,其配置曾在针对中文用户的多个活动中出现过。
观察到的工具、技术和程序 (TTP) 与高级持续威胁 (APT) 行为者一致,但 LevelBlue Labs 表示没有足够的数据将该威胁行为者归类为 APT。
LevelBlue Labs 表示:“鉴于 SquidLoader 在逃避检测方面取得的成功,针对中国以外人群的攻击者可能会开始模仿 SquidLoader 所使用的技术,帮助他们逃避对其独特恶意软件样本的检测和分析。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/cklZzsYY_kTrJTZP50XcmA
暂无评论内容