【安全资讯】FIN7组织的JSSLoader攻击组件分析
Fin7是资金雄厚,以经济利益为目标的网络犯罪组织,自2015年以来,FIN7成员参与了针对100多家美国公司的高度复杂的恶意软件活动,攻击的行业主要集中在餐馆,游戏和酒店行业。该组织独特创新的攻击技术而闻名。
研究人员分析了该组织在攻击中使用的 JSSLoader组件, JSSLoader是体积极小的.NET远程访问木马,具有渗透,持久性,自动更新,恶意软件下载等功能,关于 JSSLoader组件的公开信息并不多,下面一个网络钓鱼为例,简单介绍JSSLoader。
在以下这个实例中,攻击者伪造成“ Natural Health Sherpa”想目标发送了一封电子邮件,其中包含要从Quickbooks支付的发票。
网络钓鱼电子邮件
单击发票链接会跳转到一个专用的Sharepoint目录,该目录存储一个包含VBScript的存档文件(后来更改为WSF-Windows Script File)。
私有的Sharepoint目录
该VBScript下载并执行内存中下一阶段的VBScript。内存脚本将下载一个.NET模块(JSSLoader),然后通过计划的任务执行该模块,并添加新引入的超时延迟机制来绕过安全软件监视。
失陷指标(IOC)43
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享