引言

近期，香港金融業成為新興惡意軟體 SquidLoader 的主要攻擊目標。根據 Hackread 報導，Trellix 先進研究中心發現這款惡意軟體透過精準的魚叉式網路釣魚（spear-phishing）攻擊，針對香港、新加坡及澳洲的金融機構，部署 Cobalt Strike Beacon，實現遠端存取與資料竊取。 SquidLoader 因其近乎零檢出率與進階規避技術，成為高度危險的威脅。

SquidLoader 攻擊詳情

SquidLoader 是一款複雜的載入器（loader）惡意軟體，於 2024 年 4 月底首次由 LevelBlue Labs 發現，當時主要針對中文使用者的組織。 2025 年 7 月，Trellix 報告顯示其攻擊範圍擴大至香港金融業，並有證據顯示新加坡與澳洲的金融機構也受到類似攻擊。 攻擊始於一封以中文撰寫的魚叉式網路釣魚郵件，偽裝成金融機構發送的債券註冊表單，內含密碼保護的 RAR 壓縮檔（密碼如 20250331）。 解壓後，檔案看似 Microsoft Word 文件，實為偽裝成 AMDRSServ.exe 的惡意 PE 可執行檔，誘騙使用者執行。SquidLoader 的感染過程分五階段：

1. 初始執行：惡意檔案執行後，利用 CRT 序言（prologue）中的 __scrt_common_main_seh 函數劫持控制權，繞過 WinMain 檢查，展開加密負載。
2. 規避檢測：透過 PEB 漫遊（PEB walking）動態解析 API，XOR 加密 API 名稱，並使用控制流混淆（CFG obfuscation）與未記錄的系統呼叫（如 NtQuerySystemInformation）檢查沙箱環境與除錯工具（如 IDA Pro、Windbg）。若偵測到異常（如沙箱用戶名「Abby」或「WALKER」），則自我終止。
3. 通訊偽裝：與命令與控制（C2）伺服器聯繫，使用偽裝成 Kubernetes 服務的 URL（如 hxxps://39.107.156.136/api/v1/namespaces/kube-system/services），傳送主機資訊（IP、用戶名、作業系統版本等）。
4. 負載部署：下載並於記憶體中執行 Cobalt Strike Beacon，連線至次級 C2 伺服器（如 182.92.239.24），建立持久遠端存取。
5. 假錯誤訊息：顯示中文假錯誤訊息「檔案損壞，無法開啟」，要求用戶互動，進一步阻礙自動化分析。這些技術使 SquidLoader 在 VirusTotal 上幾乎無檢出紀錄，凸顯其隱形與危險性。

影響與風險

SquidLoader 的目標鎖定金融業，特別是香港的銀行與金融服務機構，因其高價值資料與交易特性。攻擊者可透過 Cobalt Strike Beacon 竊取敏感資料（如客戶 PII、交易紀錄）、植入後門或部署勒索軟體，導致財務損失與運營中斷。 報導指出，類似攻擊樣本也在新加坡與澳洲出現，顯示此為跨國協調行動，威脅範圍可能進一步擴大。
其進階規避技術（如反沙箱、反除錯）讓傳統防毒軟體難以偵測，企業若未部署行為分析或進階監控，可能在攻擊後數週才發現入侵。 此外，魚叉式網路釣魚的精準性與中文社交工程手法，顯示攻擊者對目標市場有深入了解，增加了防禦難度。

防護措施與建議

為應對 SquidLoader 的威脅，企業應採取以下措施：

1. 強化郵件過濾：部署進階郵件閘道，檢查密碼保護的壓縮檔與可疑附件，過濾偽裝成金融文件的釣魚郵件。
2. 端點監控：使用 EDR（端點偵測與回應）工具監控異常行為，如未預期的進程執行或網路連線至 Kubernetes 主題的 URL。
3. 行為分析：採用 SIEM 系統與行為分析技術，檢測異常系統呼叫或記憶體中執行的 Cobalt Strike Beacon。
4. 漏洞管理：定期更新作業系統與應用程式，修補已知漏洞，降低載入器利用機會。
5. 員工訓練：針對金融業員工進行社交工程防範訓練，教導辨識可疑郵件與附件，避免點擊偽裝檔案。台灣應用軟件提供專業資安解決方案，協助企業部署進階監控與防釣魚工具，確保金融業網路安全，降低 SquidLoader 等隱形威脅的風險。

結論

SquidLoader 惡意軟體以其近乎零檢出率與進階規避技術，對香港金融業構成重大威脅。其魚叉式網路釣魚與 Cobalt Strike 部署顯示攻擊者的專業性與針對性。企業需立即採取主動防護措施，強化郵件安全與端點監控，以應對這類隱形攻擊。台灣應用軟件致力提供客製化資安服務，協助金融機構保護敏感資料與運營連續性。立即聯繫我們，打造您的資安防線！