Licence za više uređaja (količinski popusti)
Threat Database Malware SVCRready

SVCRready

Do Mezo. Malware, Advanced Persistent Threat (APT). godine
Prevedi na:
Hrvatski

Cyber kriminalci koriste prethodno nepoznati učitavač zlonamjernog softvera koji se isporučuje putem phishing napada. Detalji o prijetnji i povezanim kampanjama napada javnosti su otkriveni u izvješću HP-a. Prema nalazima istraživača, prijetnja praćena kao SCVReady koristi neobičnu tehniku kada se učita na žrtvin uređaj. Treba napomenuti da, iako se prijetnja ne može u potpunosti pripisati određenoj APT skupini, postoje određene veze između kampanje napada i prethodnih prijetećih operacija koje je provodila skupina TA551 (Shatack).

SVCReady se distribuira unutar zatrovanih Word datoteka priloženih e-porukama za primamljivanje. Oštećene datoteke još uvijek koriste VBA makronaredbe za izvršavanje shellcode-a, koji zauzvrat isporučuje korisni teret s udaljene lokacije. Međutim, u slučaju SVCReady, VBA makronaredbe i shellcode su podijeljeni, a napadači skrivaju kompromitirani shellcode unutar svojstava datoteke. Nakon što se prijetnja implementira u sustav, prvo će izvršiti početno prikupljanje informacija putem upita registra i Windows API poziva. Prikupljeni podaci će se zatim prenijeti na poslužitelj za upravljanje i upravljanje (C2, C&C). Komunikacija između novijih verzija prijetnje i njenog C2 poslužitelja je RC4 šifrirana.

Učitavač će također pokušati utvrditi radi li se unutar virtualiziranog okruženja tako što će napraviti dva WMI upita. Ovisno o rezultatima, SVCReady bi mogao ući u stanje mirovanja od 30 minuta. Što se tiče mehanizma postojanosti, prijetnja će stvoriti zakazani zadatak i novi ključ registra na provaljenom sustavu. Međutim, implementacija ove značajke trenutno je manjkava i dovodi do pogrešaka koje sprječavaju pokretanje zlonamjernog softvera nakon ponovnog pokretanja. Ova bi se funkcionalnost mogla popraviti u nekoj od sljedećih verzija, budući da HP-ovi istraživači primjećuju da je SVCReady još uvijek u aktivnom razvoju. Akteri prijetnji mogu uputiti zlonamjerni softver da napravi proizvoljne snimke zaslona, pokrene naredbe ljuske, pokrene odabranu datoteku ili dohvati dodatne prijeteće korisne podatke.

U trendu

Nagledanije

Učitavam...