Threat Database Malware SVCR جاهز

SVCR جاهز

يستخدم مجرمو الإنترنت أداة تحميل برامج ضارة غير معروفة سابقًا يتم تسليمها عبر هجمات التصيد الاحتيالي. تم الكشف عن تفاصيل حول التهديد وحملات الهجوم المرتبطة به للجمهور في تقرير صادر عن HP. وفقًا لنتائج الباحثين ، فإن التهديد الذي تم تعقبه باستخدام SCVReady يستخدم تقنية غير عادية عندما يتم تحميله على جهاز الضحية. وتجدر الإشارة إلى أنه على الرغم من أن التهديد لا يمكن أن يُنسب بشكل قاطع إلى مجموعة محددة من APT ، إلا أن هناك روابط معينة بين حملة الهجوم وعمليات التهديد السابقة التي نفذتها مجموعة TA551 (Shatack).

يتم توزيع SVCReady داخل ملفات Word المسمومة المرفقة لرسائل البريد الإلكتروني المغرية. لا تزال الملفات التالفة تستخدم وحدات ماكرو VBA لتنفيذ كود القشرة ، والذي بدوره يسلم الحمولة من موقع بعيد. ومع ذلك ، في حالة SVCReady ، يتم تقسيم وحدات ماكرو VBA وكود القشرة عن بعضهما البعض ، حيث يخفي المهاجمون كود القشرة المخترق داخل خصائص الملف. بمجرد نشر التهديد على النظام ، سيقوم أولاً بجمع المعلومات الأولية عبر استعلامات التسجيل واستدعاءات Windows API. سيتم بعد ذلك نقل البيانات التي تم الحصول عليها إلى خادم الأوامر والتحكم (C2 ، C&C). يتم تشفير الاتصال بين الإصدارات الأحدث من التهديد وخادم C2 الخاص به باستخدام RC4.

سيحاول المُحمل أيضًا التأكد مما إذا كان يتم تشغيله داخل بيئة افتراضية عن طريق إجراء استعلامين عن WMI. اعتمادًا على النتائج ، يمكن لـ SVCReady الدخول في سكون لمدة 30 دقيقة. بالنسبة لآلية استمراره ، سينشئ التهديد مهمة مجدولة ومفتاح تسجيل جديد على النظام المخترق. ومع ذلك ، فإن تنفيذ هذه الميزة معيب حاليًا ويؤدي إلى أخطاء تمنع البرامج الضارة من التشغيل بعد إعادة التشغيل. يمكن إصلاح هذه الوظيفة في أحد الإصدارات التالية ، حيث لاحظ باحثو HP أن SVCReady لا يزال قيد التطوير النشط. يمكن لممثلي التهديد توجيه البرامج الضارة لأخذ لقطات شاشة عشوائية أو تشغيل أوامر shell أو تشغيل ملف مختار أو جلب حمولات تهديد إضافية.

الشائع

الأكثر مشاهدة

جار التحميل...