SVCR প্রস্তুত

সাইবার অপরাধীরা ফিশিং আক্রমণের মাধ্যমে বিতরণ করা একটি পূর্বে অজানা ম্যালওয়্যার লোডার ব্যবহার করছে। হুমকি এবং এর সাথে সম্পর্কিত আক্রমণ প্রচারাভিযান সম্পর্কে বিশদ বিবরণ HP এর একটি প্রতিবেদনে জনসাধারণের কাছে প্রকাশ করা হয়েছিল। গবেষকদের ফলাফল অনুসারে, SCVReady হিসাবে ট্র্যাক করা হুমকি একটি অস্বাভাবিক কৌশল ব্যবহার করে যখন এটি শিকারের ডিভাইসে লোড করা হয়। এটি উল্লেখ করা উচিত যে যদিও হুমকিটিকে চূড়ান্তভাবে একটি নির্দিষ্ট APT গ্রুপের জন্য দায়ী করা যায় না, তবে TA551 (শ্যাট্যাক) গ্রুপ দ্বারা সম্পাদিত আক্রমণ অভিযান এবং পূর্ববর্তী হুমকিমূলক অপারেশনগুলির মধ্যে কিছু নির্দিষ্ট সম্পর্ক রয়েছে।

SVCReady লোভ ইমেলের সাথে সংযুক্ত বিষাক্ত ওয়ার্ড ফাইলগুলির মধ্যে বিতরণ করা হয়। দূষিত ফাইলগুলি এখনও শেলকোড চালানোর জন্য VBA ম্যাক্রো ব্যবহার করে, যা ফলস্বরূপ একটি দূরবর্তী অবস্থান থেকে পেলোড সরবরাহ করে। যাইহোক, SVCRready-এর ক্ষেত্রে, VBA ম্যাক্রো এবং শেলকোড বিভক্ত হয়ে যায়, আক্রমণকারীরা ফাইলের বৈশিষ্ট্যের মধ্যে আপস করা শেলকোড লুকিয়ে রাখে। একবার হুমকিটি সিস্টেমে স্থাপন করা হলে, এটি প্রথমে রেজিস্ট্রি প্রশ্ন এবং Windows API কলের মাধ্যমে প্রাথমিক তথ্য সংগ্রহ করবে। অর্জিত ডেটা তারপর একটি কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারে প্রেরণ করা হবে। হুমকির পরবর্তী সংস্করণ এবং এর C2 সার্ভারের মধ্যে যোগাযোগ RC4 এনক্রিপ্ট করা।

লোডার দুটি WMI ক্যোয়ারী করে ভার্চুয়ালাইজড পরিবেশে চালানো হচ্ছে কিনা তা নিশ্চিত করার চেষ্টা করবে। ফলাফলের উপর নির্ভর করে, SVCRready 30-মিনিটের ঘুমে প্রবেশ করতে পারে। এর অধ্যবসায়ের প্রক্রিয়া হিসাবে, হুমকি একটি নির্ধারিত কাজ এবং লঙ্ঘিত সিস্টেমে একটি নতুন রেজিস্ট্রি কী তৈরি করবে। যাইহোক, এই বৈশিষ্ট্যটির বাস্তবায়ন বর্তমানে ত্রুটিপূর্ণ এবং ত্রুটির দিকে পরিচালিত করে যা ম্যালওয়্যারটিকে রিবুট করার পরে চালু হতে বাধা দেয়। এই কার্যকারিতা পরবর্তী সংস্করণগুলির মধ্যে একটিতে স্থির করা যেতে পারে, কারণ HP এর গবেষকরা নোট করেছেন যে SVCReady এখনও সক্রিয় বিকাশের অধীনে রয়েছে। হুমকি অভিনেতারা ম্যালওয়্যারকে নির্বিচারে স্ক্রিনশট নিতে, শেল কমান্ড চালাতে, একটি নির্বাচিত ফাইল চালাতে বা অতিরিক্ত হুমকির পেলোড আনতে নির্দেশ দিতে পারে।