SquidLoader: Новая угроза для финансовых учреждений с почти нулевой детекцией

Атака начинается с целевых фишинговых писем на китайском языке, замаскированных под официальные финансовые документы. Вложения содержат защищенные паролем RAR-архивы, внутри которых скрывается PE-бинарный файл, выдающий себя за документ Microsoft Word или легитимный исполняемый файл AMDRSServ.exe. После запуска вредонос перемещает себя в системную папку C:\Users\Public\ под именем setup_xitgutx.exe и использует хитрый механизм запуска, обходя стандартные проверки безопасности.

Технический анализ SquidLoader выявил многоступенчатый процесс заражения. Первый этап включает распаковку зашифрованного кода с помощью XOR с ключом 0xF4 и последующего добавления числа 19. Это позволяет зловреду раскрывать последующие полезные нагрузки и продолжать атаку. На втором этапе SquidLoader динамически загружает API из системных библиотек ntdll.dll и kernel32.dll, причем имена функций зашифрованы, чтобы затруднить статический анализ.

Особое внимание разработчики SquidLoader уделили противодействию анализу. Зловред проверяет наличие отладочных инструментов, таких как OllyDbg (специально с ошибкой в названии - "Olldbg.exe"), x64dbg.exe и IDA Pro, а также сканирует процессы антивирусов, включая MsMpEng.exe, используемый Windows Defender. Если детектируется любое подозрительное окружение, например, эмуляция или песочница, вредонос завершает свою работу.

Один из самых необычных методов противодействия анализу - создание "спящего" потока, который ожидает 16 минут перед выполнением критической операции. Этот прием затрудняет автоматизированный анализ в песочницах, которые обычно ускоряют выполнение кода. Кроме того, SquidLoader проверяет, выполняется ли процесс в виртуальной среде, используя малоизвестные системные вызовы, такие как NtQueryInformationProcess и NtQuerySystemInformation.

После успешного обхода защитных механизмов SquidLoader связывается с командным сервером, имитируя легитимный трафик Kubernetes. Он отправляет информацию об атакованной системе, включая IP-адрес, имя пользователя, версию ОС и права администратора, после чего загружает и выполняет в памяти оболочку Cobalt Strike Beacon. Это позволяет злоумышленникам получать полный контроль над системой и разворачивать дополнительные вредоносные модули.

Аналогичные образцы SquidLoader были замечены в Сингапуре, Китае и Австралии, что указывает на скоординированную кампанию с адаптацией под разные регионы. Фишинговые письма, датированные 31 марта 2025 года, содержат зашифрованные вложения с паролем "20250331", что подчеркивает важность социальной инженерии в этой атаке.

Эксперты по кибербезопасности предупреждают, что из-за почти нулевого уровня детекции и сложных методов обхода защитных систем SquidLoader представляет серьезную угрозу для финансовых организаций. Рекомендуется усилить мониторинг индикаторов компрометации (IoC), внедрять поведенческие системы защиты и обучать сотрудников распознаванию фишинговых атак. В условиях растущей сложности киберугроз только комплексный подход к безопасности может минимизировать риски.

URLs

• https://121.41.14.96/api/v1/namespaces/kube-system/services
• https://38.55.194.34/api/v1/namespaces/kube-system/services
• https://39.107.156.136/api/v1/namespaces/kube-system/services
• https://47.116.178.227/api/v1/namespaces/kube-system/services
• https://47.116.178.227:443/api/v1/namespaces/kube-system/services
• https://8.140.62.166/api/v1/namespaces/kube-system/services

SHA256

• 2d371709a613ff8ec43f26270a29f14a0cb7191c84f67d49c81d0e044344cf6c
• 34d602d9674f26fa2a141c688f305da0eea2979969f42379265ee18589751493
• 6960c76b624b2ed9fc21546af98e1fa2169cd350f37f6ca85684127e9e74d89c
• 9dae4e219880f0e4de5bcba649fd0741e409c8a56b4f5bef059cdf3903b78ac2
• a244bfcd82d4bc2de30fc1d58750875b638d8632adb11fe491de6289ff30d8e5
• b2811b3074eff16ec74afbeb675c85a9ec1f0befdbef8d541ac45640cacc0900
• bb0f370e11302ca2d7f01d64f0f45fbce4bac6fd5613d8d48df29a83d382d232