SquidLoader Kötü Amaçlı Yazılım Kampanyası Hong Kong Finans Şirketlerini Vurdu

Trellix İleri Araştırma Merkezi, Hong Kong'daki finansal hizmet kuruluşlarını aktif olarak hedef alan, son derece gelişmiş SquidLoader kötü amaçlı yazılımının yeni bir dalgasını ortaya çıkardı. Hackread.com ile paylaşılan Trellix'in teknik analizinde ayrıntılı olarak açıklanan bu keşif, analiz sırasında VirusTotal'da kötü amaçlı yazılımın neredeyse sıfır tespit oranına sahip olması nedeniyle önemli bir tehdidi vurguluyor. Kanıtlar ayrıca, Singapur ve Avustralya'daki kuruluşları hedef alan benzer örneklerin gözlemlendiği daha geniş bir kampanyaya da işaret ediyor.

Saldırı, finans kurumlarını taklit etmek için özenle hazırlanmış, Mandarin dilinde yazılmış hedef odaklı kimlik avı e-postalarıyla başlıyor. Bu e-postalar, kötü amaçlı bir çalıştırılabilir dosya içeren parola korumalı bir RAR arşivi gönderiyor. E-postanın gövdesi, ekteki dosyanın parolasını sağladığı için aldatmaca açısından kritik öneme sahip. Konu satırı genellikle "Yurtdışı Bankalar Aracılığıyla Döviz İşlemleri Yapan Bond Connect Yatırımcıları İçin Kayıt Formu" şeklinde görünüyor.

E-postanın bir mali temsilciden geldiği iddia ediliyor ve alıcının ekteki "Bond Connect yatırımcı döviz ticareti kayıt formunun taranmış kopyasını" kontrol edip onaylaması isteniyor. Bu dosya kurnazca gizlenmiş; yalnızca bir Microsoft Word belgesi simgesini taklit etmekle kalmıyor, aynı zamanda ilk incelemeyi atlatmak için meşru bir AMDRSServ.exe dosyasının dosya özelliklerini de yanlış bir şekilde benimsiyor.

SquidLoader, çalıştırıldığında karmaşık beş aşamalı bir bulaşma başlatır. Önce çekirdek yükünü açar, ardından normal ağ trafiğiyle uyum sağlamak için meşru Kubernetes hizmetlerini (örneğin, /api/v1/namespaces/kube-system/services ) taklit eden bir URL yolu kullanarak bir Komuta ve Kontrol ( C2 ) sunucusuyla bağlantı kurar.

Bu ilk C2 iletişimi, IP adresi, kullanıcı adı, bilgisayar adı ve Windows sürümü gibi kritik ana bilgisayar bilgilerini operatörlerine iletir. Son olarak, kötü amaçlı yazılım bir Cobalt Strike Beacon indirip çalıştırır ve ardından farklı bir adresteki (örneğin 182.92.239.24 ) ikincil bir C2 sunucusuna bağlantı kurarak saldırganlara kalıcı uzaktan erişim sağlar.

SquidLoader'ın tehlikeli olmasının temel nedenlerinden biri, kapsamlı anti-analiz, anti-sanal ortam ve anti-hata ayıklama teknikleri yelpazesidir. Bunlar arasında, IDA Pro ( ida.exe ) veya Windbg ( windbg.exe ) gibi belirli analiz araçlarının ve yaygın sanal ortam kullanıcı adlarının kontrolü yer alır.

Özellikle, emülasyonlu ortamları tespit edip bunlardan kaçınmak için uzun uyku süreleri ve Eşzamansız Prosedür Çağrıları (APC'ler) içeren karmaşık bir iş parçacığı hilesi kullanır. Herhangi bir analiz girişimi tespit ederse, kötü amaçlı yazılım kendini sonlandırır. Kontrollerinin ardından, Mandarin dilinde aldatıcı bir açılır mesaj görüntüler: "Dosya bozuk ve açılamıyor", bu da otomatik deneme ortamlarını engelleyebilecek kullanıcı etkileşimi gerektirir.

Trellix araştırmacıları raporlarında , "Karmaşık anti-analiz, anti-kum havuzu ve anti-hata ayıklama teknikleri, seyrek tespit oranlarıyla bir araya geldiğinde hedeflenen kuruluşlar için önemli bir tehdit oluşturuyor" diye vurguladılar.

Birçok ülkede gözlemlenen hedef almalar, bu gelişen tehdidin küresel doğasını ortaya koyuyor ve özellikle Hong Kong, Singapur ve Avustralya'daki finans kuruluşlarını, bu tür son derece kaçamak saldırganlara karşı güvenliklerini artırmaya çağırıyor.