Usean laitteen lisenssit (määräalennukset)
Threat Database Malware SVCRready

SVCRready

Vuonna Mezo vuonna Malware, Advanced Persistent Threat (APT)
Käännä:
Suomi

Kyberrikolliset käyttävät aiemmin tuntematonta haittaohjelmien latausohjelmaa, joka on toimitettu tietojenkalasteluhyökkäysten kautta. Yksityiskohdat uhasta ja siihen liittyvistä hyökkäyskampanjoista paljastettiin yleisölle HP:n raportissa. Tutkijoiden havaintojen mukaan SCVReadynä jäljitetty uhka käyttää epätavallista tekniikkaa, kun se ladataan uhrin laitteeseen. On syytä huomata, että vaikka uhkaa ei voida lopullisesti lukea tietystä APT-ryhmästä, hyökkäyskampanjan ja TA551 (Shatack) -ryhmän aikaisempien uhkausoperaatioiden välillä on tiettyjä yhteyksiä.

SVCReady jaetaan myrkytettyjen Word-tiedostojen sisällä, jotka on liitetty houkutussähköposteihin. Vioittuneet tiedostot käyttävät edelleen VBA-makroja shell-koodin suorittamiseen, mikä puolestaan toimittaa hyötykuorman etäpaikasta. Kuitenkin SVCReadyn tapauksessa VBA-makrot ja shellkoodi jaetaan erilleen, jolloin hyökkääjät piilottavat vaarantuneen shell-koodin tiedoston ominaisuuksiin. Kun uhka on otettu käyttöön järjestelmään, se suorittaa ensin alustavan tiedon keräämisen rekisterikyselyjen ja Windows API -kutsujen kautta. Hankitut tiedot siirretään sitten Command-and-Control (C2, C&C) palvelimelle. Tietoliikenne uhan myöhempien versioiden ja sen C2-palvelimen välillä on RC4-salattua.

Lataaja yrittää myös varmistaa, onko se käynnissä virtualisoidussa ympäristössä tekemällä kaksi WMI-kyselyä. Tuloksista riippuen SVCReady voi mennä 30 minuutin nukkumaan. Mitä tulee pysyvyysmekanismiinsa, uhka luo ajoitetun tehtävän ja uuden rekisteriavaimen rikotun järjestelmän. Tämän ominaisuuden toteutus on kuitenkin tällä hetkellä virheellinen ja johtaa virheisiin, jotka estävät haittaohjelmia käynnistymästä uudelleenkäynnistyksen jälkeen. Tämä toiminnallisuus voitaisiin korjata jossain seuraavista versioista, koska HP:n tutkijat huomauttavat, että SVCReady on edelleen aktiivisen kehityksen alla. Uhkatoimijat voivat ohjeistaa haittaohjelmia ottamaan mielivaltaisia kuvakaappauksia, suorittamaan komentotulkkikomentoja, suorittamaan valitun tiedoston tai hakemaan lisää uhkaavia hyötykuormia.

Trendaavat

Eniten katsottu

Ladataan...