关键词

恶意软件

新型恶意软件 SquidLoader:金融机构安全面临“幽灵”侵袭

近日,安全研究机构 Trellix 发布最新威胁报告,揭示一股针对香港金融机构的网络攻击浪潮,核心工具正是名为“SquidLoader”的高级加载器。该恶意软件隐蔽性极强,能用于部署 Cobalt Strike Beacon,为攻击者打开远程后门。

攻击链揭秘:多阶段精雕细琢

  1. 鱼叉式钓鱼邮件
    邮件使用普通话编写,冒充“金融机构发票”,包含带密码的 RAR 文件,引诱用户点击。

  2. 伪装 Word 文件的恶意 PE 文件
    解压后实际是可执行程序,伪称为“AMDRSServ.exe”,伪装性高。

  3. 多阶段加载机制
    恶意载体自我解包,动态解析 Windows API,绕过沙箱和分析工具,最终下载并运行 Cobalt Strike Beacon,获取持久远控。

️ 超高隐蔽性:抗分析、反调试、反沙箱防线

  • 筛查常见分析工具和防御程序:如windbg.exeida64.exeMsMpEng.exe出现即自毁终止。

  • 代码混淆与系统调用隐藏:使用未公开的系统调用,串联异步线程与长时间睡眠机制,有效躲避沙箱活性检测 。

  • 伪装错误提示阻断沙箱运行:弹出中文“文件损坏无法打开”,中断自动化分析流程。

地域扩散:不止香港,疑涉亚太

目前已确认攻击以香港为主,但相关样本也在新加坡和澳大利亚出现,暗示攻击可能持续蔓延至亚太多国 。

总结:影子中的威胁,需要硬化应对

SquidLoader 打造出一条极隐蔽的攻击链,结合 Cobalt Strike 持久化后门,使其成为金融机构的一种“幽灵级”威胁。其深层规避机制与复杂部署方式,呼吁组织层面从邮件入口、端点监控、沙箱策略到网络通信都须布局全面防御。

若你所在的行业或团队希望开展针对性防护演练或沙箱环境强化部署,本公众号可提供方案建议与攻防模拟方案,欢迎后台留言交流!

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!