JSSLoader

JSSLoader說明

JSSLoader 是一種初始階段的惡意軟件威脅,其任務是分析被破壞的系統並在攻擊鏈中部署額外的惡意負載。該威脅最早由 Proofpoint 的信息安全研究人員於 2019 年發現,此後經歷了快速發展。事實上,最新版本的 JSSLoader 表明該威脅已從其原始的 .NET 完全重寫為 C++ 編程語言。雖然這並非聞所未聞,但將整個惡意軟件威脅重新創建為一種新語言仍然極為罕見。網絡犯罪分子這樣做很有可能是為了增加逃避當前檢測的機會。

有證據表明 JSSLoader 正在被少數威脅參與者部署。更具體地說,研究人員表示,他們已經檢測到兩個使用該威脅的黑客組織,其中一個是 TA543 APT(高級持續威脅)組織。 JSSLoader 的新 C++ 版本被發現是該組織實施的新威脅活動的一部分。這一系列攻擊針對在不同行業領域運營的各種組織——醫療保健、零售、製造、金融、教育、運輸和技術。

這些攻擊與 2019 年涉及 JSSLoader 的威脅操作具有相同的特徵。數以千計的帶有損壞鏈接的誘餌電子郵件被分發給潛在的受害者。這些電子郵件通常會欺騙流行公司的發票和交貨信息。來自最新操作的誘餌信息旨在模仿 UPS 發送的信息。電子郵件中的鏈接指向託管 Keitaro TDS 的頁面。然後繼續下載託管在 SharePoint 上的 Windows 腳本文件 (WSF)。在執行時,WSF 獲取一個中間階段腳本,該腳本最終將 JSSLoader 的 C++ 版本下載並加載到受感染的系統上。