SVCRready

Küberkurjategijad kasutavad varem tundmatut pahavara laadijat, mis edastatakse andmepüügirünnakute kaudu. Ohu ja sellega seotud rünnakukampaaniate üksikasjad avalikustati HP aruandes. Teadlaste järelduste kohaselt kasutab SCVReadyna jälgitav oht ebatavalist tehnikat, kui see laaditakse ohvri seadmesse. Tuleb märkida, et kuigi ohtu ei saa lõplikult seostada konkreetse APT grupiga, on ründekampaania ja TA551 (Shatack) grupi varasemate ähvardavate operatsioonide vahel teatud seosed.

SVCReady levitatakse mürgitatud Wordi failides, mis on lisatud peibutusmeilidele. Rikutud failid kasutavad shellkoodi käivitamiseks endiselt VBA-makrosid, mis omakorda edastavad kasuliku koormuse kaugemast asukohast. Kuid SVCReady puhul on VBA makrod ja shellkood eraldatud ning ründajad peidavad kahjustatud shellkoodi faili atribuutide sisse. Kui oht on süsteemi juurutatud, kogub see esmalt esmase teabe registripäringute ja Windows API kõnede kaudu. Seejärel edastatakse saadud andmed käsu- ja juhtimisserverisse (C2, C&C). Ohu hilisemate versioonide ja selle C2-serveri vaheline side on RC4-krüpteeritud.

Laadija proovib ka kindlaks teha, kas seda käitatakse virtualiseeritud keskkonnas, tehes kaks WMI-päringut. Sõltuvalt tulemustest võib SVCReady siseneda 30-minutilise unerežiimi. Mis puutub selle püsivusmehhanismi, siis loob oht rikutud süsteemis ajastatud ülesande ja uue registrivõtme. Selle funktsiooni rakendamine on aga praegu vigane ja põhjustab vigu, mis takistavad pahavara käivitamist pärast taaskäivitamist. Seda funktsiooni saab parandada mõnes järgmistest versioonidest, kuna HP teadlased märgivad, et SVCReady on endiselt aktiivses arenduses. Ohutegijad saavad anda pahavarale käsu teha suvalisi ekraanipilte, käivitada shellisikäsklusi, käivitada valitud faili või tuua täiendavaid ähvardavaid koormusi.