SVCRady

Kyberzločinci používají dříve neznámý zavaděč malwaru dodávaný prostřednictvím phishingových útoků. Podrobnosti o hrozbě a souvisejících útočných kampaních byly veřejnosti odhaleny ve zprávě společnosti HP. Podle zjištění výzkumníků používá hrozba sledovaná jako SCVReady neobvyklou techniku, když je nahrána do zařízení oběti. Je třeba poznamenat, že ačkoli nelze hrozbu jednoznačně připsat konkrétní skupině APT, existují určité vazby mezi útočnou kampaní a předchozími výhrůžkovými operacemi provedenými skupinou TA551 (Shatack).

SVCReady je distribuován v otrávených souborech Word připojených k e-mailům s návnadou. Poškozené soubory stále používají makra VBA ke spouštění shell kódu, který zase dodává užitečné zatížení ze vzdáleného umístění. V případě SVCReady jsou však makra VBA a shell kód rozděleny, přičemž útočníci skryjí kompromitovaný shell kód ve vlastnostech souboru. Jakmile je hrozba nasazena do systému, nejprve provede prvotní shromažďování informací prostřednictvím dotazů registru a volání rozhraní Windows API. Získaná data budou poté přenesena na server Command-and-Control (C2, C&C). Komunikace mezi novějšími verzemi hrozby a jejím C2 serverem je šifrována RC4.

Zavaděč se také pokusí zjistit, zda je spuštěn ve virtualizovaném prostředí, a to vytvořením dvou dotazů WMI. V závislosti na výsledcích může SVCReady vstoupit do 30minutového spánku. Pokud jde o mechanismus přetrvávání, hrozba vytvoří naplánovanou úlohu a nový klíč registru na narušeném systému. Implementace této funkce je však v současnosti chybná a vede k chybám, které brání spuštění malwaru po restartu. Tato funkce by mohla být opravena v jedné z příštích verzí, protože výzkumníci HP poznamenávají, že SVCReady je stále v aktivním vývoji. Aktéři hrozeb mohou instruovat malware, aby pořizoval libovolné snímky obrazovky, spouštěl příkazy shellu, spouštěl vybraný soubor nebo načítal další ohrožující užitečné zatížení.