SVCRready

A kiberbűnözők egy korábban ismeretlen rosszindulatú programbetöltőt használnak, amelyet adathalász támadásokon keresztül szállítanak. A fenyegetés és a hozzá kapcsolódó támadási kampányok részleteit a HP jelentésében tárták fel a nyilvánosság elé. A kutatók megállapításai szerint az SCVReady néven nyomon követett fenyegetés szokatlan technikát alkalmaz, amikor az áldozat eszközére rakják. Meg kell jegyezni, hogy bár a fenyegetést nem lehet egyértelműen egy adott APT-csoportnak tulajdonítani, vannak bizonyos kapcsolatok a támadási kampány és a TA551 (Shatack) csoport által végrehajtott korábbi fenyegető műveletek között.

Az SVCReady a csalogató e-mailekhez csatolt mérgezett Word-fájlokban található. A sérült fájlok továbbra is VBA makrókat használnak a shellkód végrehajtásához, amely viszont távoli helyről szállítja a hasznos terhet. Az SVCReady esetében azonban a VBA-makrók és a shellkód szét vannak választva, és a támadók elrejtik a feltört shellkódot a fájl tulajdonságai között. Miután a fenyegetést telepítették a rendszerre, először a rendszerleíró adatbázis lekérdezésein és a Windows API-hívásokon keresztül végez kezdeti információgyűjtést. A megszerzett adatok ezután egy Command-and-Control (C2, C&C) szerverre kerülnek. A fenyegetés későbbi verziói és a C2-kiszolgáló közötti kommunikáció RC4-titkosított.

A betöltő két WMI-lekérdezéssel is megpróbálja meggyőződni arról, hogy virtualizált környezetben fut-e. Az eredményektől függően az SVCReady 30 perces alvásba léphet. Ami a fennmaradási mechanizmust illeti, a fenyegetés ütemezett feladatot és új rendszerleíró kulcsot hoz létre a megsértett rendszeren. Ennek a funkciónak a megvalósítása azonban jelenleg hibás, és olyan hibákhoz vezet, amelyek megakadályozzák, hogy a rosszindulatú program újraindítás után elinduljon. Ezt a funkciót a következő verziók valamelyikében javítani lehetne, mivel a HP kutatói megjegyzik, hogy az SVCReady még mindig aktív fejlesztés alatt áll. A fenyegetés szereplői utasíthatják a kártevőt tetszőleges képernyőképek készítésére, shell-parancsok futtatására, egy kiválasztott fájl futtatására vagy további fenyegető rakományok lekérésére.