Một biến thể mới của phần mềm độc hại SquidLoader đã xuất hiện, đang tích cực xâm nhập vào các tổ chức ở Hồng Kông với sự lén lút chưa từng thấy, gây ra mối lo ngại đáng báo động cho ngành tài chính.
Loader phức tạp này đạt được tỷ lệ phát hiện gần như bằng không trên các nền tảng như VirusTotal. Nó khai thác các cơ chế chống phân tích, chống sandbox và chống gỡ lỗi phức tạp để triển khai Cobalt Strike Beacons, từ đó thiết lập quyền truy cập từ xa vào hệ thống bị nhiễm.
Chuỗi Tấn công Ban đầu
Chuỗi tấn công của phần mềm độc hại SquidLoader bắt đầu bằng các email lừa đảo spear-phishing bằng tiếng Quan Thoại. Các email này được ngụy trang dưới dạng thư tín tài chính hợp pháp và chứa các tệp lưu trữ RAR được bảo vệ bằng mật khẩu. Khi giải nén, các tệp lưu trữ này giải phóng một tệp nhị phân PE, vốn ngụy trang thành một tài liệu Microsoft Word hoặc tệp AMDRSServ.exe vô hại.
Khai thác Giai đoạn Khởi tạo
Ngay sau khi được thực thi, SquidLoader tự di chuyển đến thư mục C:\\Users\\Public\\setup_xitgutx.exe. Tại đây, nó tiến hành chiếm quyền điều khiển hàm __scrt_common_main_seh trong đoạn mở đầu CRT (C Runtime Library). Việc này cho phép phần mềm độc hại khởi động các hoạt động độc hại của nó trước khi chương trình chính (WinMain) được gọi, một cách hiệu quả để bỏ qua các kiểm tra bảo mật ban đầu.
Cơ chế Nhiễm Đa Giai đoạn
Phân tích kỹ thuật của SquidLoader cho thấy một quy trình lây nhiễm đa giai đoạn phức tạp.
Giai đoạn 1: Giải mã và Giải mã hóa
Giai đoạn giải nén ban đầu của SquidLoader sử dụng một vòng lặp đơn giản nhưng hiệu quả để giải mã hóa các byte đã được đóng gói. Quá trình này bao gồm việc thực hiện phép toán XOR với giá trị 0xF4, sau đó cộng thêm 19. Kỹ thuật này giúp giải mã các payload tiếp theo được nhúng trong tệp nhị phân.
Giai đoạn 2: Giải quyết API Động
Giai đoạn thứ hai của quá trình lây nhiễm bao gồm việc sử dụng kỹ thuật PEB walking (Process Environment Block walking) để giải quyết động các API từ ntdll.dll và kernel32.dll. Tên của các API này được mã hóa bằng XOR và sau đó được ghi đè để xóa bỏ mọi dấu vết tĩnh trong mã. Một cấu trúc ngăn xếp tùy chỉnh được sử dụng để lưu trữ các con trỏ đã được giải quyết, cờ, và địa chỉ PEB/TEB. Các thông tin này được lưu trữ trong một phần không sử dụng của PEB để dễ dàng truy cập. Ngoài ra, việc làm xáo trộn luồng điều khiển một cách nặng nề thông qua các lệnh nhảy có điều kiện làm phức tạp đáng kể quá trình phân tích ngược (reverse engineering).
Giai đoạn 3: Kỹ thuật Né tránh Nâng cao
Giai đoạn thứ ba của SquidLoader tăng cường các biện pháp né tránh với nhiều kỹ thuật chống sandbox và chống phân tích.
Kiểm tra Anti-Sandbox
- Phần mềm độc hại kiểm tra tên người dùng hệ thống để phát hiện các môi trường sandbox phổ biến, chẳng hạn như kiểm tra các tên người dùng như “Abby” hoặc “WALKER“.
- Nó cũng đảm bảo rằng đường dẫn ảnh tiến trình (process image path) khớp với đường dẫn đã được di chuyển trước đó, một dấu hiệu cho thấy nó đang chạy trong môi trường dự kiến chứ không phải một môi trường phân tích.
Phát hiện Công cụ Phân tích và Phần mềm Diệt Virus
SquidLoader liệt kê các tiến trình đang chạy thông qua NtQuerySystemInformation để phát hiện và đưa vào danh sách đen các công cụ phân tích như OllyDbg (được viết sai thành Olldbg.exe), x64dbg.exe, IDA Pro. Ngoài ra, nó cũng nhắm mục tiêu vào các tiến trình phần mềm diệt virus, bao gồm MsMpEng.exe của Windows Defender. Nếu phát hiện các công cụ này, phần mềm độc hại có thể tự chấm dứt để tránh bị phân tích.
Sử dụng Syscall Không Tài liệu
Phần mềm độc hại sử dụng các lệnh gọi hệ thống (syscalls) không có trong tài liệu chính thức của Microsoft để phát hiện môi trường gỡ lỗi:
- NtQueryInformationProcess (0x1e): Được sử dụng để phát hiện các đối tượng gỡ lỗi (debug objects).
- NtQuerySystemInformation (0x23): Được sử dụng để gắn cờ các trình gỡ lỗi hạt nhân (kernel debuggers).
Nếu bất kỳ điểm bất thường nào được phát hiện thông qua các syscall này, SquidLoader sẽ tự chấm dứt hoạt động của nó.
Kỹ thuật Anti-Emulation Mới
Một kỹ thuật chống giả lập (anti-emulation) mới lạ được SquidLoader triển khai như sau:
- Tạo một luồng ngủ dài (16 phút thông qua SleepEx).
- Xếp hàng một APC (Asynchronous Procedure Call) với NtQueueApcThread để đặt một cờ trong cấu trúc dữ liệu của nó.
- Sử dụng NtWaitForSingleObject để xác minh việc thực thi.
Mọi sai lệch trong quá trình này, thường xảy ra trong các trình giả lập hoặc sandbox đã bị hook (can thiệp), sẽ khiến phần mềm độc hại chấm dứt hoạt động.
Các Biện pháp Né tránh Bổ sung
Các biện pháp bổ sung mà SquidLoader sử dụng để né tránh bao gồm:
- Sử dụng NtIsProcessInJob để phát hiện trình giả lập của Microsoft.
- Áp dụng kỹ thuật làm xáo trộn chuỗi động (dynamic string obfuscation) để ẩn các chuỗi quan trọng trong bộ nhớ.
- Hiển thị một hộp thông báo lỗi bằng tiếng Quan Thoại yêu cầu tương tác của người dùng (“The file is corrupted and cannot be opened”). Mục đích là để làm hỏng quá trình phân tích tự động, vì hộp thoại này đòi hỏi hành động thủ công để đóng.
Giao tiếp C2 và Triển khai Payload
Sau khi thành công trong việc né tránh, SquidLoader liên hệ với máy chủ C2 (Command and Control) của nó tại các điểm cuối như hxxps://39.107.156.136/api/v1/namespaces/kube-system/services. Giao tiếp này được thiết kế để bắt chước lưu lượng truy cập Kubernetes để hòa lẫn vào lưu lượng mạng thông thường và tránh bị phát hiện.
Nó truyền các chi tiết về máy chủ bị nhiễm, bao gồm địa chỉ IP, tên người dùng, phiên bản hệ điều hành, PID (Process ID), và trạng thái quản trị viên. Sau đó, SquidLoader tải xuống và thực thi shellcode Cobalt Strike Beacon trực tiếp trong bộ nhớ, kết nối với các máy chủ C2 thứ cấp như 182.92.239.24 để duy trì sự bền bỉ trên hệ thống.
Mục tiêu Chiến dịch và IOC
Các mẫu phần mềm độc hại tương tự với tỷ lệ phát hiện thấp cũng nhắm mục tiêu vào Singapore, Trung Quốc và Úc. Các mẫu này chia sẻ các URL theo chủ đề Kubernetes, cho thấy một chiến dịch có sự phối hợp với các điều chỉnh theo địa lý.
Các email lừa đảo, có ngày 31 tháng 3 năm 2025, được ngụy trang dưới dạng biểu mẫu đăng ký trái phiếu với các tệp đính kèm được mã hóa (mật khẩu: 20250331). Điều này nhấn mạnh vai trò quan trọng của kỹ thuật xã hội trong chuỗi tấn công của SquidLoader.
Việc phát hiện ít ỏi và các kỹ thuật nâng cao của phần mềm độc hại này đặt ra những rủi ro nghiêm trọng. Các tổ chức tài chính cần khẩn trương theo dõi các Chỉ số Đánh dấu Nguy cơ (IOCs) và tăng cường các biện pháp phòng thủ dựa trên hành vi.
Chỉ số Đánh dấu Nguy cơ (IOCs)
- Đường dẫn di chuyển phần mềm độc hại:
C:\\Users\\Public\\setup_xitgutx.exe - Máy chủ C2 chính:
hxxps://39.107.156.136/api/v1/namespaces/kube-system/services - Máy chủ C2 thứ cấp:
182.92.239.24 - Mật khẩu tệp đính kèm phishing:
20250331 - Tên tệp nhị phân giả mạo: Tài liệu Microsoft Word, AMDRSServ.exe
- Thuật toán giải mã hóa Giai đoạn 1: XOR với 0xF4, sau đó cộng 19
- Tên người dùng chống sandbox: “Abby“, “WALKER“
- Các tiến trình bị đưa vào danh sách đen: Olldbg.exe, x64dbg.exe, IDA Pro, MsMpEng.exe
- Syscall không tài liệu: NtQueryInformationProcess (0x1e), NtQuerySystemInformation (0x23)
