SVCR រួចរាល់

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើកម្មវិធីផ្ទុកមេរោគដែលមិនស្គាល់ពីមុន ដែលបញ្ជូនតាមរយៈការវាយប្រហារដោយបន្លំ។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែង និងយុទ្ធនាការវាយប្រហារដែលពាក់ព័ន្ធរបស់វាត្រូវបានបង្ហាញជាសាធារណៈនៅក្នុងរបាយការណ៍របស់ HP ។ យោងតាមការរកឃើញរបស់អ្នកស្រាវជ្រាវ ការគំរាមកំហែងដែលត្រូវបានតាមដាននៅពេលដែល SCVReady ប្រើបច្ចេកទេសមិនធម្មតាមួយនៅពេលដែលវាត្រូវបានផ្ទុកនៅលើឧបករណ៍របស់ជនរងគ្រោះ។ គួរកត់សំគាល់ថា ទោះបីជាការគំរាមកំហែងនេះមិនអាចសន្និដ្ឋានបានថាជាក្រុម APT ជាក់លាក់ក៏ដោយ វាមានទំនាក់ទំនងជាក់លាក់រវាងយុទ្ធនាការវាយប្រហារ និងប្រតិបត្តិការគំរាមកំហែងពីមុនដែលធ្វើឡើងដោយក្រុម TA551 (Shatack) ។

SVCReady ត្រូវបានចែកចាយនៅក្នុងឯកសារ Word ពុលដែលភ្ជាប់ទៅនឹងអ៊ីមែលទាក់ទាញ។ ឯកសារដែលខូចនៅតែប្រើម៉ាក្រូ VBA ដើម្បីប្រតិបត្តិ shellcode ដែលនាំឱ្យ payload ពីទីតាំងដាច់ស្រយាលមួយ។ ទោះយ៉ាងណាក៏ដោយ ក្នុងករណី SVCReady ម៉ាក្រូ VBA និងសែលកូដត្រូវបានបំបែកដោយអ្នកវាយប្រហារលាក់កូដសែលដែលត្រូវបានសម្របសម្រួលនៅក្នុងលក្ខណៈសម្បត្តិឯកសារ។ នៅពេលដែលការគំរាមកំហែងត្រូវបានដាក់ពង្រាយទៅក្នុងប្រព័ន្ធ នោះដំបូងវានឹងធ្វើការប្រមូលព័ត៌មានដំបូងតាមរយៈសំណួរចុះឈ្មោះ និងការហៅ Windows API ។ ទិន្នន័យដែលទទួលបាននឹងត្រូវបានបញ្ជូនទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2, C&C)។ ការទំនាក់ទំនងរវាងកំណែក្រោយនៃការគំរាមកំហែង និងម៉ាស៊ីនមេ C2 របស់វាត្រូវបានអ៊ិនគ្រីប RC4 ។

កម្មវិធីផ្ទុកក៏នឹងព្យាយាមបញ្ជាក់ថាតើវាកំពុងដំណើរការនៅក្នុងបរិយាកាសនិម្មិតដោយបង្កើតសំណួរ WMI ពីរដែរឬទេ។ អាស្រ័យលើលទ្ធផល SVCReady អាចចូលគេង 30 នាទី។ ចំពោះយន្តការតស៊ូរបស់វា ការគំរាមកំហែងនឹងបង្កើតកិច្ចការដែលបានកំណត់ពេល និងសោចុះបញ្ជីថ្មីនៅលើប្រព័ន្ធដែលបំពាន។ ទោះជាយ៉ាងណាក៏ដោយ ការអនុវត្តមុខងារនេះបច្ចុប្បន្នមានកំហុស ហើយនាំឱ្យមានបញ្ហាដែលរារាំងមេរោគមិនឱ្យដំណើរការបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ។ មុខងារនេះអាចត្រូវបានជួសជុលនៅក្នុងកំណែបន្ទាប់មួយ ដូចដែលអ្នកស្រាវជ្រាវរបស់ HP កត់សម្គាល់ថា SVCReady នៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍សកម្មនៅឡើយ។ តួអង្គគំរាមកំហែងអាចណែនាំមេរោគឱ្យថតអេក្រង់តាមអំពើចិត្ត ដំណើរការពាក្យបញ្ជាសែល ដំណើរការឯកសារដែលបានជ្រើសរើស ឬទាញយកបន្ទុកគំរាមកំហែងបន្ថែម។