隐秘SquidLoader恶意软件通过规避型Cobalt Strike攻击瞄准香港金融机构
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Trellix威胁情报团队发现针对香港金融机构的SquidLoader恶意软件攻击,该软件通过伪装的钓鱼邮件传播,具备高度规避检测能力,最终使攻击者获得远程访问权限,攻击链复杂,涉及反分析和反沙箱技术,对企业安全构成重大威胁。
🎯
关键要点
- Trellix威胁情报团队发现针对香港金融机构的SquidLoader恶意软件攻击。
- SquidLoader是一款高度混淆的加载程序,旨在规避检测并部署Cobalt Strike信标。
- 攻击链始于伪装的钓鱼邮件,附件为密码保护的RAR压缩包,解压后伪装成合法文件。
- 恶意软件通过复制自身并建立与命令控制服务器的连接,最终实现远程访问权限。
- SquidLoader具备高级的反分析、反沙箱和反调试技术,能够自我终止以规避检测。
- 与C2服务器的通信伪装成Kubernetes主题的URL,攻击活动已扩展至新加坡和澳大利亚。
- 整个攻击活动展现出高度专业化的攻击操作,对目标组织构成重大威胁。
❓
延伸问答
SquidLoader恶意软件是如何传播的?
SquidLoader恶意软件通过伪装的钓鱼邮件传播,附件为密码保护的RAR压缩包,解压后伪装成合法文件。
SquidLoader恶意软件的主要功能是什么?
SquidLoader的主要功能是规避检测并部署Cobalt Strike信标,以实现对目标系统的远程访问。
SquidLoader恶意软件具备哪些反检测技术?
SquidLoader具备高级的反分析、反沙箱和反调试技术,能够自我终止以规避检测。
此次攻击的目标主要是哪些地区?
此次攻击的主要目标是香港金融机构,但攻击活动已扩展至新加坡和澳大利亚。
SquidLoader恶意软件的攻击链是怎样的?
攻击链始于伪装的钓鱼邮件,随后下载并执行恶意代码,最终实现远程访问权限。
Trellix对SquidLoader恶意软件的检测率如何?
Trellix报告指出,SquidLoader在分析时其VirusTotal检测率接近零,展现出极强的规避能力。
🏷️
标签
➡️
