SVCKlar

Cyberkriminelle bruger en hidtil ukendt malware-loader leveret via phishing-angreb. Detaljer om truslen og dens tilknyttede angrebskampagner blev afsløret for offentligheden i en rapport fra HP. Ifølge forskernes resultater bruger truslen, der spores som SCVReady, en usædvanlig teknik, når den indlæses på ofrets enhed. Det skal bemærkes, at selvom truslen ikke endeligt kan tilskrives en specifik APT-gruppe, er der visse forbindelser mellem angrebskampagnen og tidligere truende operationer udført af TA551 (Shatack)-gruppen.

SVCReady distribueres inde i forgiftede Word-filer, der er vedhæftet til at lokke e-mails. De korrupte filer bruger stadig VBA-makroer til at udføre shellcode, som igen leverer nyttelasten fra en fjernplacering. I tilfælde af SVCReady er VBA-makroerne og shellkoden dog delt fra hinanden, hvor angriberne skjuler den kompromitterede shellkode inde i filegenskaberne. Når truslen er blevet implementeret til systemet, vil den først udføre indledende informationsindsamling via registreringsdatabasen-forespørgsler og Windows API-kald. De indhentede data vil derefter blive transmitteret til en Command-and-Control-server (C2, C&C). Kommunikation mellem de senere versioner af truslen og dens C2-server er RC4-krypteret.

Indlæseren vil også forsøge at fastslå, om den køres i et virtualiseret miljø ved at lave to WMI-forespørgsler. Afhængigt af resultaterne kan SVCReady gå ind i en 30-minutters søvn. Hvad angår dens persistensmekanisme, vil truslen skabe en planlagt opgave og en ny registreringsnøgle på det brudte system. Men implementeringen af denne funktion er i øjeblikket mangelfuld og fører til fejl, der forhindrer malwaren i at starte efter en genstart. Denne funktionalitet kunne rettes i en af de næste versioner, da HP's forskere bemærker, at SVCReady stadig er under aktiv udvikling. Trusselsaktørerne kan instruere malwaren til at tage vilkårlige skærmbilleder, køre shell-kommandoer, køre en valgt fil eller hente yderligere truende nyttelast.