DeathStalker は新しい Janicab 亜種で法人を標的にします from securelist.com

Janicab マルウェア ファミリを使用するあまり一般的ではない Deathstalker による侵入を探しているときに、2020 年を通して中東の法人を標的にするために使用された新しい Janicab の亜種を特定しました。
関数 downFile(args) | C2 からファイルをダウンロードしてディスクに保存するために使用されます
興味深いことに、古い Janicab の亜種と新しい Janicab の亜種は、Web サービス (YouTubeLinks) に対して同一の関数宣言を使用し続けており、10 進数を変換して C2 IP アドレスをバックエンドにするプロセスで定数除算器を使用し続けています。
この実行可能ファイル (ハッシュとファイル名) の一意性により、脅威アクターが使用する未知の他の C2 サーバーをピボットして収集することができました。
興味深いことに、同じ ICMP シェル実行可能ファイルが以前に PowerPepper の侵入で使用されていたこともわかりました。
たとえば、以前の Janicab の侵入では、Windows スクリーンショット ツールの実行可能ファイルを使用してスクリーンショットを取得していましたが、後の侵入では DLL ベースの代替手段が使用されています。