SVC Ready

Киберпрестъпниците използват неизвестен досега зареждащ зловреден софтуер, доставен чрез фишинг атаки. Подробности за заплахата и свързаните с нея кампании за атака бяха разкрити на обществеността в доклад на HP. Според констатациите на изследователите, заплахата, проследявана като SCVReady, използва необичайна техника, когато се зареди на устройството на жертвата. Трябва да се отбележи, че въпреки че заплахата не може да бъде категорично приписана на конкретна APT група, съществуват определени връзки между кампанията за атака и предишни заплашителни операции, извършени от групата TA551 (Shatack).

SVCReady се разпространява в отровени Word файлове, прикачени към имейли за примамване. Повредените файлове все още използват VBA макроси за изпълнение на шелкод, който от своя страна доставя полезния товар от отдалечено място. Въпреки това, в случая на SVCReady, VBA макросите и шелкодът са разделени, като нападателите крият компрометирания шелкод в свойствата на файла. След като заплахата бъде внедрена в системата, тя първо ще извърши първоначално събиране на информация чрез заявки в системния регистър и извиквания на Windows API. След това получените данни ще бъдат предадени на сървър за командване и управление (C2, C&C). Комуникацията между по-късните версии на заплахата и нейния C2 сървър е RC4 криптирана.

Зареждането също ще се опита да установи дали се изпълнява във виртуализирана среда, като направи две WMI заявки. В зависимост от резултатите, SVCReady може да влезе в 30-минутен сън. Що се отнася до неговия механизъм за постоянство, заплахата ще създаде планирана задача и нов ключ на системния регистър на нарушената система. Въпреки това, внедряването на тази функция в момента е дефектно и води до грешки, които пречат на стартирането на зловреден софтуер след рестартиране. Тази функционалност може да бъде коригирана в една от следващите версии, тъй като изследователите на HP отбелязват, че SVCReady все още е в процес на активно развитие. Заплахите могат да инструктират злонамерения софтуер да прави произволни екранни снимки, да изпълнява команди на обвивката, да стартира избран файл или да извлича допълнителни заплашителни полезни товари.

Тенденция

Най-гледан

Зареждане...