מוכן ל-SVCR
פושעי סייבר משתמשים בטוען תוכנות זדוניות שלא היה ידוע בעבר המועבר באמצעות התקפות דיוג. פרטים על האיום ומסעות התקיפה הקשורים אליו נחשפו לציבור בדו"ח של HP. על פי ממצאי החוקרים, האיום שמעקב אחר SCVReady משתמש בטכניקה יוצאת דופן כאשר הוא מוטען על המכשיר של הקורבן. יש לציין כי למרות שלא ניתן לייחס את האיום באופן סופי לקבוצת APT ספציפית, ישנם קשרים מסוימים בין מסע התקיפה לבין פעולות מאיימות קודמות שביצעה קבוצת TA551 (Shatack).
SVCReady מופץ בתוך קבצי Word מורעלים המצורפים למיילים לפיתוי. הקבצים הפגומים עדיין משתמשים בפקודות מאקרו VBA כדי להפעיל קוד מעטפת, שבתורו מספק את המטען ממיקום מרוחק. עם זאת, במקרה של SVCReady, פקודות המאקרו של VBA וקוד המעטפת מפוצלים בנפרד, כאשר התוקפים מסתירים את קוד המעטפת שנפרץ בתוך מאפייני הקובץ. לאחר פריסת האיום למערכת, היא תבצע תחילה איסוף מידע ראשוני באמצעות שאילתות רישום וקריאות API של Windows. לאחר מכן, הנתונים שנרכשו ישודרו לשרת פקודה ושליטה (C2, C&C). התקשורת בין הגרסאות המאוחרות יותר של האיום לבין שרת ה-C2 שלו מוצפנת RC4.
המטען גם ינסה לוודא אם הוא מופעל בתוך סביבה וירטואלית על ידי ביצוע שתי שאילתות WMI. בהתאם לתוצאות, SVCReady יכול להיכנס לשינה של 30 דקות. באשר למנגנון ההתמדה שלו, האיום יצור משימה מתוזמנת ומפתח רישום חדש במערכת שנפרצה. עם זאת, היישום של תכונה זו פגום כרגע ומוביל לשגיאות שמונעות מהתוכנה הזדונית להפעיל לאחר אתחול מחדש. ניתן לתקן את הפונקציונליות הזו באחת מהגרסאות הבאות, שכן החוקרים של HP מציינים ש-SVCReady עדיין בפיתוח פעיל. שחקני האיום יכולים להורות לתוכנה הזדונית לצלם צילומי מסך שרירותיים, להפעיל פקודות מעטפת, להריץ קובץ נבחר או להביא מטענים מאיימים נוספים.
