SVC 준비

사이버 범죄자들은 피싱 공격을 통해 전달되는 이전에 알려지지 않은 맬웨어 로더를 사용하고 있습니다. 위협 및 관련 공격 캠페인에 대한 세부 정보는 HP 보고서에서 일반에 공개되었습니다. 연구원의 조사 결과에 따르면 SCVReady로 추적된 위협은 피해자의 장치에 로드될 때 비정상적인 기술을 사용합니다. 위협이 특정 APT 그룹에 결정적으로 귀속될 수는 없지만 공격 캠페인과 TA551(Shatack) 그룹이 수행한 이전 위협 작업 사이에는 특정 연결 고리가 있습니다.

SVCReady는 유인 이메일에 첨부된 중독된 Word 파일 내부에 배포됩니다. 손상된 파일은 여전히 VBA 매크로를 사용하여 셸코드를 실행하고 원격 위치에서 페이로드를 전달합니다. 그러나 SVCReady의 경우 VBA 매크로와 셸 코드가 분리되어 공격자가 파일 속성 내에 손상된 셸 코드를 숨깁니다. 위협이 시스템에 배포되면 먼저 레지스트리 쿼리 및 Windows API 호출을 통해 초기 정보 수집을 수행합니다. 수집된 데이터는 명령 및 제어(C2, C&C) 서버로 전송됩니다. 최신 버전의 위협 요소와 해당 C2 서버 간의 통신은 RC4로 암호화됩니다.

로더는 또한 두 개의 WMI 쿼리를 만들어 가상화된 환경 내에서 실행되고 있는지 확인하려고 시도합니다. 결과에 따라 SVCReady는 30분 절전 모드에 들어갈 수 있습니다. 지속성 메커니즘과 관련하여 위협은 침해된 시스템에 예약된 작업과 새 레지스트리 키를 생성합니다. 그러나 이 기능의 구현에는 현재 결함이 있으며 재부팅 후 맬웨어가 실행되지 않도록 하는 오류가 발생합니다. 이 기능은 다음 버전 중 하나에서 수정될 수 있습니다. HP 연구원은 SVCReady가 아직 개발 중이라고 밝혔습니다. 위협 행위자는 멀웨어에게 임의의 스크린샷을 찍거나, 셸 명령을 실행하거나, 선택한 파일을 실행하거나, 위협적인 추가 페이로드를 가져오도록 지시할 수 있습니다.