SVCRReady

Μέχρι το Mezo το Malware, Advanced Persistent Threat (APT)

Μετάφραση σε:

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ένα προηγουμένως άγνωστο πρόγραμμα φόρτωσης κακόβουλου λογισμικού που παραδόθηκε μέσω επιθέσεων phishing. Λεπτομέρειες σχετικά με την απειλή και τις σχετικές εκστρατείες επιθέσεων αποκαλύφθηκαν στο κοινό σε μια αναφορά της HP. Σύμφωνα με τα ευρήματα των ερευνητών, η απειλή που παρακολουθείται ως SCVReady χρησιμοποιεί μια ασυνήθιστη τεχνική όταν φορτώνεται στη συσκευή του θύματος. Θα πρέπει να σημειωθεί ότι αν και η απειλή δεν μπορεί να αποδοθεί οριστικά σε μια συγκεκριμένη ομάδα APT, υπάρχουν ορισμένοι δεσμοί μεταξύ της εκστρατείας επίθεσης και των προηγούμενων απειλητικών επιχειρήσεων που πραγματοποιήθηκαν από την ομάδα TA551 (Shatack).

Το SVCReady διανέμεται μέσα σε δηλητηριασμένα αρχεία Word που είναι συνημμένα σε δελεαστικά email. Τα κατεστραμμένα αρχεία εξακολουθούν να χρησιμοποιούν μακροεντολές VBA για την εκτέλεση του shellcode, ο οποίος με τη σειρά του παραδίδει το ωφέλιμο φορτίο από μια απομακρυσμένη τοποθεσία. Ωστόσο, στην περίπτωση του SVCReady, οι μακροεντολές VBA και ο κώδικας φλοιού χωρίζονται, με τους εισβολείς να κρύβουν τον παραβιασμένο κώδικα φλοιού μέσα στις ιδιότητες του αρχείου. Μόλις η απειλή αναπτυχθεί στο σύστημα, θα πραγματοποιήσει πρώτα την αρχική συλλογή πληροφοριών μέσω ερωτημάτων μητρώου και κλήσεων API των Windows. Στη συνέχεια, τα δεδομένα που αποκτήθηκαν θα μεταδοθούν σε διακομιστή Command-and-Control (C2, C&C). Η επικοινωνία μεταξύ των νεότερων εκδόσεων της απειλής και του διακομιστή C2 είναι κρυπτογραφημένη με RC4.

Ο φορτωτής θα προσπαθήσει επίσης να εξακριβώσει εάν εκτελείται μέσα σε ένα εικονικοποιημένο περιβάλλον κάνοντας δύο ερωτήματα WMI. Ανάλογα με τα αποτελέσματα, το SVCReady θα μπορούσε να τεθεί σε ύπνο 30 λεπτών. Όσον αφορά τον μηχανισμό εμμονής της, η απειλή θα δημιουργήσει μια προγραμματισμένη εργασία και ένα νέο κλειδί μητρώου στο σύστημα που έχει παραβιαστεί. Ωστόσο, η εφαρμογή αυτής της δυνατότητας είναι επί του παρόντος εσφαλμένη και οδηγεί σε σφάλματα που εμποδίζουν την εκκίνηση του κακόβουλου λογισμικού μετά από επανεκκίνηση. Αυτή η λειτουργία θα μπορούσε να επιδιορθωθεί σε μία από τις επόμενες εκδόσεις, καθώς οι ερευνητές της HP σημειώνουν ότι το SVCReady βρίσκεται ακόμη υπό ενεργό ανάπτυξη. Οι φορείς απειλών μπορούν να δώσουν εντολή στο κακόβουλο λογισμικό να τραβήξει αυθαίρετα στιγμιότυπα οθόνης, να εκτελέσει εντολές φλοιού, να εκτελέσει ένα επιλεγμένο αρχείο ή να ανακτήσει επιπλέον απειλητικά ωφέλιμα φορτία.

Αναζήτηση

Αλλαγή Περιοχής

SVCRReady

Υποβάλετε σχόλιο

Τάσεις

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Περισσότερες εμφανίσεις

Είναι το Lookmovie.io ασφαλές;

DNS Unlocker

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».