SVCRready
مجرمان سایبری از یک بارگذار بدافزار ناشناخته استفاده می کنند که از طریق حملات فیشینگ تحویل داده شده است. جزئیات مربوط به تهدید و کمپین های حمله مرتبط با آن در گزارشی توسط HP برای عموم فاش شد. بر اساس یافتههای محققان، تهدیدی که بهعنوان SCVReady ردیابی میشود، زمانی که روی دستگاه قربانی بارگذاری میشود، از تکنیک غیرعادی استفاده میکند. لازم به ذکر است که اگرچه نمی توان به طور قطعی تهدید را به یک گروه خاص APT نسبت داد، اما پیوندهای مشخصی بین کمپین حمله و عملیات تهدیدآمیز قبلی که توسط گروه TA551 (Shatack) انجام شده بود، وجود دارد.
SVCReady در داخل فایلهای Word مسموم متصل به ایمیلهای فریبنده توزیع میشود. فایل های خراب هنوز از ماکروهای VBA برای اجرای shellcode استفاده می کنند که به نوبه خود بار را از یک مکان راه دور تحویل می دهد. با این حال، در مورد SVCReady، ماکروهای VBA و پوستهکد از هم جدا میشوند و مهاجمان پوستهکد آسیبدیده را در ویژگیهای فایل پنهان میکنند. هنگامی که تهدید در سیستم مستقر شد، ابتدا جمع آوری اطلاعات اولیه را از طریق پرس و جوهای رجیستری و فراخوانی های Windows API انجام می دهد. سپس داده های به دست آمده به یک سرور Command-and-Control (C2, C&C) منتقل می شود. ارتباط بین نسخه های بعدی تهدید و سرور C2 آن رمزگذاری شده RC4 است.
لودر همچنین سعی می کند با ایجاد دو پرس و جو WMI اطمینان حاصل کند که آیا در یک محیط مجازی اجرا می شود یا خیر. بسته به نتایج، SVCReady میتواند به خواب 30 دقیقهای وارد شود. در مورد مکانیسم تداوم آن، تهدید یک کار برنامه ریزی شده و یک کلید رجیستری جدید در سیستم نقض شده ایجاد می کند. با این حال، اجرای این ویژگی در حال حاضر دارای نقص است و منجر به خطاهایی می شود که از راه اندازی بدافزار پس از راه اندازی مجدد جلوگیری می کند. این عملکرد می تواند در یکی از نسخه های بعدی برطرف شود، زیرا محققان HP خاطرنشان می کنند که SVCReady هنوز در حال توسعه فعال است. عوامل تهدید میتوانند به بدافزار دستور دهند تا اسکرینشاتهای دلخواه بگیرد، دستورات پوسته را اجرا کند، فایل انتخابی را اجرا کند یا بارهای تهدیدکننده اضافی را واکشی کند.