JSSLoader: shellcode 版本分析翻译
本帖最后由 梦幻的彼岸 于 2022-8-22 16:36 编辑原文地址https://www.malwarebytes.com/blog/threat-intelligence/2022/08/jssloader-the-shellcode-edition简介翻译Malwarebytes威胁情报团队在6月下旬观察到一个恶意邮件活动,我们认为是FIN7 APT集团所为。Josh Trombley也在Twitter上报告了其中一个样本;在执行过程中,我们观察到它投放了一个用.NET编写的二级有效载荷。
Mandiant在 "FIN7 Power Hour: Adversary Archeology and the Evolution of FIN7"一文中描述了FIN7活动的细节。今年早些时候,Morphisec和Secureworks描述了该组织使用的一个新组件,以XLL格式传递。该组件是导致另一个恶意软件的攻击链的第一步,被称为JSSLoader。
在分析过程中,我们发现目前FIN7使用的恶意软件是对JSSLoader的又一次重写,具有扩展的功能以及包括数据渗透的新功能。
在这份白皮书中,我们将重点关注新观察到的样本的实施细节,并对代码进行深入研究,同时将其与其他供应商分析的早期样本进行比较。分析细节请见白皮书
过来学习,多谢分享 进来学习的
页:
[1]