JSSLoader

JSSLoader는 침해 된 시스템을 프로파일 링하고 공격 체인에 추가 악성 페이로드를 배포하는 작업을 수행하는 초기 단계 맬웨어 위협입니다. 이 위협은 2019 년에 infosec 연구자들에 의해 처음 발견되었으며 그 이후로 빠르게 발전했습니다. 사실 최신 버전의 JSSLoader는 위협이 원래 .NET에서 C ++ 프로그래밍 언어로 완전히 재 작성되었음을 보여줍니다. 전례가 없지만 전체 맬웨어 위협을 새로운 언어로 재창조하는 것은 여전히 매우 드문 일입니다. 사이버 범죄자들이 현재 탐지를 회피 할 가능성을 높이기 위해 그렇게했을 가능성이 높습니다.

증거에 따르면 JSSLoader는 소수의 위협 행위자에 의해 배포되고 있습니다. 보다 구체적으로 연구원들은 위협을 사용하여 두 개의 해커 그룹을 탐지했다고 밝혔으며 그중 하나는 TA543 APT (Advanced Persistent Threat) 그룹입니다. JSSLoader의 새로운 C ++ 버전은 그룹이 수행 한 새로운 위협 캠페인의 일부로 발견되었습니다. 일련의 공격은 의료, 소매, 제조, 금융, 교육, 운송 및 기술과 같은 다양한 산업 분야에서 운영되는 광범위한 조직을 대상으로합니다.

이 공격은 2019 년의 JSSLoader와 관련된 위협 작업과 동일한 특성을 가지고 있습니다. 손상된 링크를 전달하는 수천 개의 미끼 이메일이 잠재적 인 피해자에게 배포됩니다. 이메일은 일반적으로 인기있는 회사의 인보이스 및 배달 정보를 스푸핑합니다. 최신 작업의 루어 메시지는 UPS에서 보낸 메시지를 모방하도록 설계되었습니다. 이메일 안의 링크는 Keitaro TDS를 호스팅하는 페이지로 연결됩니다. 그런 다음 SharePoint에서 호스팅되는 WSF (Windows 스크립팅 파일)를 다운로드합니다. 실행시 WSF는 최종적으로 JSSLoader의 C ++ 버전을 손상된 시스템에 다운로드하고로드하는 중간 단계 스크립트를 가져옵니다.