强对抗的SquidLoader针对中国企业发起攻击

文章预览

研究人员近期发现了一种高对抗强度的 Loader，其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为，研究人员将其命名为 SquidLoader。SquidLoader 最早在 2024 年 4 月下旬被发现，但研究人员认为其至少已经活跃了一个月以上。 SquidLoader 后续投递的是 Cobalt Strike，也都经过加强以对抗静态分析。根据 SquidLoader 的配置信息，研究人员发现过去两年中主要在针对讲中文的受害者进行攻击。攻击者的攻击技术与攻击策略有可能会被他人模仿，在不久的将来被其他攻击者应用到攻击其他受害者。 Loader 分析 2024 年 4 月下旬，研究人员观察到一些特别的钓鱼邮件附件，文件名为「华为工业级路由器相关产品介绍和优秀客户案例」。顺藤摸瓜发现一系列以中国企业/组织名称命名的恶意附件，如「中国移动集团XX分公司」、「嘉X智能科技」与「XX ………………………………