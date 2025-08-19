标签
安全 计算和服务器 网络

IBM X-Force Threat Analysis: QuirkyLoader - 投递信息窃取器和远程木马的一种新型恶意软件加载器

神情忧虑的女性坐在电脑前，双手抚面注视笔记本电脑屏幕

自 2024 年 11 月起，IBM X-Force 已监测到一款名为 QuirkyLoader 的新型加载器，其被用于向已受感染的系统投递额外恶意负载。借助 QuirkyLoader 传播的知名恶意软件家族包括：

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

多阶段感染从一封电子邮件开始。威胁行为者既使用合法的电子邮件服务提供商，也使用自托管的邮件服务器发送附带恶意压缩包的邮件。该压缩包包含三个关键组件：一个合法可执行文件、一个加密载荷和一个恶意 DLL。攻击者采用了 DLL 侧加载技术，即当启动合法可执行文件时，恶意 DLL 也会被加载。随后，该 DLL 会加载、解密最终载荷，并将其注入目标进程。

值得注意的是，X-Force 观察到威胁参与者始终用 .NET 语言编写 DLL 加载器模块，并使用提前编译（AOT）技术。该过程在执行前将代码编译成本地机器码，使得生成的二进制文件看起来像是用 C 或 C++ 编写的。

威胁类型

  • 加载器

分析

感染链

QuirkyLoader 感染链始于用户打开垃圾邮件附带的恶意压缩文件。该压缩包内含一个合法可执行文件、一个伪装成 DLL 的加密载荷以及一个 DLL 加载器模块。部分情况下，压缩包还会包含其他合法 DLL 以隐藏恶意模块。

执行该合法.EXE 文件后，感染流程将进入后续阶段。该可执行文件通过 DLL 侧载加载恶意 DLL。此恶意 DLL 随后会加载、解密最终负载并将其注入目标进程。其实现方式是对以下进程之一执行进程中空技术：AddInProcess32.exeInstallUtil.exe 或 aspnet_wp.exe

用于投递恶意软件/加载器的电子邮件样本
图 1：样本邮件
显示 QuirkyLoader 感染链的流程图
图 2：感染链条

DLL 加载器模块

​QuirkyLoader 的 DLL 模块始终使用 C# .NET 编写。它采用提前编译（AOT）技术进行编译：先将 C# 代码编译为微软中间语言（MSIL），再将 MSIL 编译成本机机器码。这项技术绕过了传统的 .NET 编译流程，即先将代码编译为 MSIL，再通过公共语言运行时转换为本机代码。因此，最终生成的二进制文件形似 C 或 C++ 编写的程序。

.NET AOT 二进制文件的编译器和语言识别信息屏幕截图
图 3：.NET AOT 二进制文件的编译器和语言识别信息

为加载加密的负载，该恶意软件会调用 Win32 API 接口 CreateFileW()ReadFile()。随后，它通常会采用分组密码算法对存储恶意负载的缓冲区进行解密。

值得注意的是，其中一个变种采用 Speck-128 算法结合计数器（CTR）模式解密载荷，这种加密方式在恶意软件中并不常见。Speck 算法通过将主密钥扩展为多个轮密钥实现加密。它利用这些轮密钥与随机数值，通过执行加法+旋转+异或（ARX）运算生成密钥流。最终，恶意软件将生成的密钥流与加密数据按 16 字节块进行异或操作，从而得到解密后的载荷。

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

代码块 1 Speck 分组密码的密钥流生成

为规避安全软件的检测，该恶意软件会动态解析进程中空所需的 Win32 API。具体流程为：

首先，恶意软件调用 CreateProcessW() 以挂起状态启动一个进程。接着，通过 ZwUnmapViewOfSection() 解除该挂起进程的内存映射，并利用 ZwWriteVirtualMemory() 将自身的恶意负载写入该内存空间。完成这些初始化操作后，恶意软件通过 SetThreadContext() 设置恶意负载的起始执行点，最后调用 ResumeThread() 触发负载执行。

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

受害者画像

过去几个月关于 QuirkyLoader 攻击地理分布的信息有限，但 2025 年 7 月发现了两起分别针对台湾和墨西哥的独立攻击活动。在台湾的攻击活动专门针对网络安全研究公司 Nusoft Taiwan 的员工，并分发 Snake Keylogger 信息窃取木马。在墨西哥的攻击则随机针对个人用户，同时投放 Remcos 远程访问木马与 AsyncRAT。

关联网络基础设施

IBM X-Force 已发现与恶意垃圾邮件分发域名相关的更多网络威胁指标。此次调查始于域名 catherinereynolds [.] info，该域名解析至 IP 地址 157 [.] 66 [.] 225 [.] 11，且搭载了 Zimbra 网页客户端。经深入核查发现，该域名使用的 SSL 证书包含通用名称 mail [.] catherinereynolds [.] info。以该证书为线索展开溯源后，X-Force 发现 IP 地址 103 [.] 75 [.] 77 [.] 90 和 161 [.] 248 [.] 178 [.] 212 同样在使用该 SSL 证书。X-Force 高度确信这些新增 IP 地址存在关联，原因在于它们使用相似的互联网服务提供商、托管同类服务，且 SSL 证书中包含相同的通用名称。

catherinereynolds[.]info 的 SSL 证书
图 4：catherinereynolds[.]info 的 SSL 证书

总结

QuirkyLoader 是一种新型加载器恶意软件，正活跃分发 Agent Tesla、AsyncRAT 和 Remcos 等知名恶意软件家族。威胁参与者通过携带压缩文件的恶意邮件启动多阶段感染。该恶意软件利用 DLL 侧加载技术执行其核心 DLL 模块——该模块始终采用 .NET 编写并通过提前编译隐藏其本质。随后该模块解密并注入最终载荷，展现出一种投递多样化恶意威胁的复杂手法。

建议

  • 拦截带有可执行附件的消息
  • 避免打开意外电子邮件
  • 避免打开来自不受信任来源的文件
  • 保持安全产品的最新状态并正确配置
  • 由于最终载荷通常是信息窃取和远程访问工具，因此要主动监控和检查出站网络流量
  • 密切监控以下合法进程的行为，因为它们是 QuirkyLoader 进程掏空的常见目标：
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

入侵指标

指示符

指标类型

情境化

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

文件

QuirkyLoader DLL 模块

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

文件

QuirkyLoader DLL 模块

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

文件

QuirkyLoader DLL 模块

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

文件

QuirkyLoader DLL 模块

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

文件

QuirkyLoader DLL 模块

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

文件

QuirkyLoader 样本邮件

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

文件

QuirkyLoader 样本邮件

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

文件

QuirkyLoader 样本邮件

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

文件

QuirkyLoader 样本邮件

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

文件

QuirkyLoader 样本邮件

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

文件

QuirkyLoader 样本邮件

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

文件

QuirkyLoader 样本邮件

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

文件

QuirkyLoader 样本邮件

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

文件

QuirkyLoader 样本邮件

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

文件

QuirkyLoader 样本邮件

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

文件

携带 QuirkyLoader 的邮件附件

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

文件

携带 QuirkyLoader 的邮件附件

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

文件

携带 QuirkyLoader 的邮件附件

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

文件

携带 QuirkyLoader 的邮件附件

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

文件

携带 QuirkyLoader 的邮件附件

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

文件

携带 QuirkyLoader 的邮件附件

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

文件

携带 QuirkyLoader 的邮件附件

catherinereynolds[.]info

用于恶意垃圾邮件活动的域

mail[.]catherinereynolds[.]info

用于恶意垃圾邮件活动的域

157[.]66[.]22[.]11

IPv4

域名 catherinereynolds [.] info 所解析的 IP 地址

103[.]75[.]77[.]90

IPv4

与 QuirkyLoader 相关的 IP 地址

161[.]248[.]178[.]212

IPv4

与 QuirkyLoader 相关的 IP 地址

IBM X-Force Premier Threat Intelligence 现已与 OpenCTI 集成，可提供有关此威胁活动及更多内容的可操作威胁情报。获取有关威胁参与者、恶意软件和行业风险的洞察分析。安装 OpenCTI Connector，借助 IBM X-Force 的专业能力增强威胁检测与响应效率，加固自身网络安全防线。保持领先，立即整合

Think 时事通讯

您的团队能否及时捕获下一个零日？

加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy