JSSLoader

JSSLoader, ihlal edilen sistemlerin profilini çıkarmak ve saldırı zincirinde ek kötü amaçlı yükleri dağıtmakla görevli bir başlangıç aşaması kötü amaçlı yazılım tehdididir. Tehdit ilk olarak Proofpoint'teki infosec araştırmacıları tarafından 2019'da keşfedildi ve o zamandan beri hızlı bir gelişme geçirdi. Aslında, JSSLoader'ın en son sürümleri, tehdidin orijinal .NET'ten C++ programlama diline tamamen yeniden yazıldığını gösteriyor. Bu duyulmamış bir şey olmasa da, tüm bir kötü amaçlı yazılım tehdidini yeni bir dilde yeniden oluşturmak hala oldukça nadirdir. Siber suçluların, mevcut tespitlerden kaçma şansını artırmak için bunu yapmış olmaları çok muhtemeldir.

Kanıtlar, JSSLoader'ın az sayıda tehdit aktörü tarafından konuşlandırıldığını gösteriyor. Daha spesifik olarak araştırmacılar, tehdidi kullanan biri TA543 APT (Gelişmiş Kalıcı Tehdit) grubu olmak üzere iki hacker grubu tespit ettiklerini belirtiyorlar. JSSLoader'ın yeni C++ sürümleri, grup tarafından yürütülen yeni bir tehdit kampanyasının parçası olarak bulundu. Saldırı dizisi, sağlık, perakende, imalat, finans, eğitim, ulaşım ve teknoloji gibi çeşitli endüstri sektörlerinde faaliyet gösteren çok çeşitli kuruluşları hedef alıyor.

Saldırılar, 2019'da JSSLoader'ı içeren tehdit edici operasyonlarla aynı özellikleri taşıyor. Bozuk bağlantılar içeren binlerce yem e-postası potansiyel kurbanlara dağıtılıyor. E-postalar genellikle popüler şirketlerden gelen sahte faturaları ve teslimat bilgilerini gösterir. En son işlemlerden gelen cazibe mesajları, UPS tarafından gönderilenleri taklit edecek şekilde tasarlanmıştır. E-postanın içindeki bağlantı, Keitaro TDS'yi barındıran bir sayfaya yönlendirir. Ardından, SharePoint'te barındırılan bir Windows Komut Dosyası Dosyasını (WSF) indirmeye devam eder. Yürütülmesinin ardından, WSF, JSSLoader'ın C++ sürümünü indirip güvenliği ihlal edilmiş sisteme yükleyen orta aşamalı bir komut dosyası alır.