JSSLoader

JSSLoader说明

JSSLoader 是一种初始阶段的恶意软件威胁,其任务是分析被破坏的系统并在攻击链中部署额外的恶意负载。该威胁最早由 Proofpoint 的信息安全研究人员于 2019 年发现,此后经历了快速发展。事实上,最新版本的 JSSLoader 表明该威胁已从其原始的 .NET 完全重写为 C++ 编程语言。虽然这并非闻所未闻,但将整个恶意软件威胁重新创建为一种新语言仍然极为罕见。网络犯罪分子这样做很有可能是为了增加逃避当前检测的机会。

有证据表明 JSSLoader 正在被少数威胁参与者部署。更具体地说,研究人员表示,他们已经检测到两个使用该威胁的黑客组织,其中一个是 TA543 APT(高级持续威胁)组织。 JSSLoader 的新 C++ 版本被发现是该组织实施的新威胁活动的一部分。这一系列攻击针对在不同行业领域运营的各种组织——医疗保健、零售、制造、金融、教育、运输和技术。

这些攻击与 2019 年涉及 JSSLoader 的威胁操作具有相同的特征。数以千计的带有损坏链接的诱饵电子邮件被分发给潜在的受害者。这些电子邮件通常会欺骗流行公司的发票和交货信息。来自最新操作的诱饵信息旨在模仿 UPS 发送的信息。电子邮件中的链接指向托管 Keitaro TDS 的页面。然后继续下载托管在 SharePoint 上的 Windows 脚本文件 (WSF)。在执行时,WSF 获取一个中间阶段脚本,该脚本最终将 JSSLoader 的 C++ 版本下载并加载到受感染的系统上。