JSSLoader

JSSLoader 説明

JSSLoaderは、侵害されたシステムのプロファイリングと攻撃チェーンへの追加の悪意のあるペイロードの展開を任務とする初期段階のマルウェア脅威です。この脅威は、2019年にProofpointのinfosec研究者によって最初に発見され、それ以来急速に発展してきました。実際、最新バージョンのJSSLoaderは、脅威が元の.NETからC ++プログラミング言語に完全に書き直されたことを示しています。これは前代未聞ではありませんが、マルウェアの脅威全体を新しい言語に再現することは、依然として非常にまれです。サイバー犯罪者が現在の検出を回避する可能性を高めるためにそうした可能性が高いです。

証拠は、JSSLoaderが少数の脅威アクターによって展開されていることを示唆しています。より具体的には、研究者は、脅威を使用して2つのハッカーグループを検出したと述べています。そのうちの1つはTA543 APT(Advanced Persistent Threat)グループです。 JSSLoaderの新しいC ++バージョンは、グループによって実行された新しい脅迫キャンペーンの一部として見つかりました。一連の攻撃は、ヘルスケア、小売、製造、金融、教育、運輸、テクノロジーなど、さまざまな業界で活動している幅広い組織を標的としています。

攻撃には、2019年のJSSLoaderが関与する脅迫的な操作と同じ特徴があります。破損したリンクを含む何千ものベイトメールが潜在的な被害者に配布されます。電子メールは通常、人気のある企業からの請求書や配達情報を偽装します。最新のオペレーションからのルアーメッセージは、UPSによって送信されたものを模倣するように設計されています。メール内のリンクから、KeitaroTDSをホストしているページにアクセスできます。次に、SharePointでホストされているWindowsスクリプトファイル(WSF)のダウンロードに進みます。 WSFは、実行時に中間段階のスクリプトをフェッチし、最終的にC ++バージョンのJSSLoaderを侵害されたシステムにダウンロードしてロードします。