【安全资讯】FIN7组织的JSSLoader攻击组件分析

安恒情报中心 2021-01-05 07:22:11 1048人浏览

Fin7是资金雄厚,以经济利益为目标的网络犯罪组织,自2015年以来,FIN7成员参与了针对100多家美国公司的高度复杂的恶意软件活动,攻击的行业主要集中在餐馆,游戏和酒店行业。该组织独特创新的攻击技术而闻名。


研究人员分析了该组织在攻击中使用的 JSSLoader组件, JSSLoader是体积极小的.NET远程访问木马,具有渗透,持久性,自动更新,恶意软件下载等功能,关于 JSSLoader组件的公开信息并不多,下面一个网络钓鱼为例,简单介绍JSSLoader。


 在以下这个实例中,攻击者伪造成“ Natural Health Sherpa”想目标发送了一封电子邮件,其中包含要从Quickbooks支付的发票。


网络钓鱼电子邮件


单击发票链接会跳转到一个专用的Sharepoint目录,该目录存储一个包含VBScript的存档文件(后来更改为WSF-Windows Script File)。


私有的Sharepoint目录 


该VBScript下载并执行内存中下一阶段的VBScript。内存脚本将下载一个.NET模块(JSSLoader),然后通过计划的任务执行该模块,并添加新引入的超时延迟机制来绕过安全软件监视。

失陷指标(IOC)43
APT Fin7 钓鱼攻击 JSSLoader 远程控制RAT 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。