JavaScript Droppers Delivery New Threats

关键要点

新的JavaScript dropper被发现传递Bumblebee和IcedID恶意软件，这两种恶意软件均会执行勒索软件。Bumblebee于2022年3月首次被发现，之前与Conti集团关联，并现在转向JavaScript。IcedID是一种模块化的银行恶意软件，旨在窃取财务信息，现正向更广泛的恶意软件转型。使用JavaScript后，攻击者可获得新的规避和恶意软件传递机会，成为安全产品的新挑战。

最近观察到一种新的JavaScript dropper，这种dropper传递Bumblebee和IcedID恶意软件，安全专业人士对此应高度关注，因为这两种恶意软件均以执行勒索软件而闻名。

根据Deep Instinct的威胁研究团队在6月22日的博客文章中表示，该dropper的代码中包含俄语注释，并使用了独特的用户代理字符串“PindOS”，这可能与俄罗斯当前及过去的反美情绪有关联。

Bumblebee作为一种恶意软件加载程序，于2022年3月首次被发现。研究人员指出，它与Conti集团有关，并正在作为BazarLoader的替代品使用。而转向JavaScript而非PowerShell标志着Bumblebee在其成熟的战术、技术和程序TTPs上的重大变化，研究人员指出。

IcedID作为一种模块化的银行恶意软件，旨在窃取财务信息，自2017年以来已在野外活动，并最近观察到其在恶意软件传递上的一些转变。

研究人员提到，IcedID似乎在部分追随Emotet的脚步，并可能已经放弃其银行和财务功能，以转向更加通用的加载程序类型恶意软件。安全专业人士可以将其与新的JavaScript dropper的关联视为朝此方向迈出的又一步。

转向JavaScript基础的dropper给恶意软件传递和规避提供了新的机会，可能给主要关注于检测PowerShell攻击的安全产品带来挑战，Critical Start的网络威胁研究高级经理Callie Guenther表示。

Guenther指出：“使用独特的用户代理字符串‘PindOS’以及代码中俄语注释的存在，令人怀疑可能与俄罗斯的反美情绪存在联系。尽管在分析网络威胁时考虑地缘政治因素至关重要，但仅仅基于这些元素归因特定动机或关联往往是具有挑战性的。”

海鸥加速器官网

战争、冲突和政治政策将始终对网络安全环境及威胁行为者选择目标产生影响，然而十次中有九次，这些网络攻击背后的动机主要是金钱，政治信息往往只是附带或分散注意力因素，Keeper Security的产品负责人Zane Bond表示。

Bond强调，在数字时代，组织应主动保护自己免受各种形式的恶意软件和网络威胁。

“这些攻击的目标和政治信息进一步证明，网络安全就是国家安全，必须优先处理，”Bond表示。“保护关键基础设施及人们赖以生存的服务免受网络攻击的重要性与保护其免受实体攻击的重要性相当，因为后果可能同样令人震惊。”