SVCRready

مجرمان سایبری از یک بارگذار بدافزار ناشناخته استفاده می کنند که از طریق حملات فیشینگ تحویل داده شده است. جزئیات مربوط به تهدید و کمپین های حمله مرتبط با آن در گزارشی توسط HP برای عموم فاش شد. بر اساس یافته‌های محققان، تهدیدی که به‌عنوان SCVReady ردیابی می‌شود، زمانی که روی دستگاه قربانی بارگذاری می‌شود، از تکنیک غیرعادی استفاده می‌کند. لازم به ذکر است که اگرچه نمی توان به طور قطعی تهدید را به یک گروه خاص APT نسبت داد، اما پیوندهای مشخصی بین کمپین حمله و عملیات تهدیدآمیز قبلی که توسط گروه TA551 (Shatack) انجام شده بود، وجود دارد.

SVCReady در داخل فایل‌های Word مسموم متصل به ایمیل‌های فریبنده توزیع می‌شود. فایل های خراب هنوز از ماکروهای VBA برای اجرای shellcode استفاده می کنند که به نوبه خود بار را از یک مکان راه دور تحویل می دهد. با این حال، در مورد SVCReady، ماکروهای VBA و پوسته‌کد از هم جدا می‌شوند و مهاجمان پوسته‌کد آسیب‌دیده را در ویژگی‌های فایل پنهان می‌کنند. هنگامی که تهدید در سیستم مستقر شد، ابتدا جمع آوری اطلاعات اولیه را از طریق پرس و جوهای رجیستری و فراخوانی های Windows API انجام می دهد. سپس داده های به دست آمده به یک سرور Command-and-Control (C2, C&C) منتقل می شود. ارتباط بین نسخه های بعدی تهدید و سرور C2 آن رمزگذاری شده RC4 است.

لودر همچنین سعی می کند با ایجاد دو پرس و جو WMI اطمینان حاصل کند که آیا در یک محیط مجازی اجرا می شود یا خیر. بسته به نتایج، SVCReady می‌تواند به خواب 30 دقیقه‌ای وارد شود. در مورد مکانیسم تداوم آن، تهدید یک کار برنامه ریزی شده و یک کلید رجیستری جدید در سیستم نقض شده ایجاد می کند. با این حال، اجرای این ویژگی در حال حاضر دارای نقص است و منجر به خطاهایی می شود که از راه اندازی بدافزار پس از راه اندازی مجدد جلوگیری می کند. این عملکرد می تواند در یکی از نسخه های بعدی برطرف شود، زیرا محققان HP خاطرنشان می کنند که SVCReady هنوز در حال توسعه فعال است. عوامل تهدید می‌توانند به بدافزار دستور دهند تا اسکرین‌شات‌های دلخواه بگیرد، دستورات پوسته را اجرا کند، فایل انتخابی را اجرا کند یا بارهای تهدیدکننده اضافی را واکشی کند.

پرطرفدار

پربیننده ترین

بارگذاری...