SVCRready

Kibernetiniai nusikaltėliai naudoja anksčiau nežinomą kenkėjiškų programų įkroviklį, pristatomą per sukčiavimo atakas. Išsami informacija apie grėsmę ir su ja susijusias atakų kampanijas buvo atskleista visuomenei HP pranešime. Remiantis tyrėjų išvadomis, grėsmė, stebima kaip SCVReady, naudoja neįprastą techniką, kai ji įkeliama į aukos įrenginį. Pažymėtina, kad nors grėsmė negali būti galutinai priskirta konkrečiai APT grupei, yra tam tikrų sąsajų tarp puolimo kampanijos ir ankstesnių grėsmės operacijų, kurias vykdė TA551 (Shatack) grupė.

„SVCReady“ platinamas užnuodytuose „Word“ failuose, pridedamuose prie viliojančių el. laiškų. Sugadinti failai vis dar naudoja VBA makrokomandas apvalkalo kodui vykdyti, o tai savo ruožtu perduoda naudingą apkrovą iš nuotolinės vietos. Tačiau SVCReady atveju VBA makrokomandos ir apvalkalo kodas yra atskiriami, o užpuolikai slepia pažeistą apvalkalo kodą failo ypatybėse. Kai grėsmė bus įdiegta sistemoje, ji pirmiausia atliks pradinės informacijos rinkimą per registro užklausas ir „Windows“ API iškvietimus. Tada gauti duomenys bus perduoti į komandų ir valdymo (C2, C&C) serverį. Ryšys tarp vėlesnių versijų grėsmės ir jos C2 serverio yra užšifruotas RC4.

Įkroviklis taip pat bandys išsiaiškinti, ar jis paleidžiamas virtualizuotoje aplinkoje, atlikdamas dvi WMI užklausas. Atsižvelgiant į rezultatus, SVCReady gali įjungti 30 minučių miego režimą. Kalbant apie jos patvarumo mechanizmą, grėsmė sukurs suplanuotą užduotį ir naują registro raktą pažeistoje sistemoje. Tačiau šios funkcijos įdiegimas šiuo metu yra ydingas ir sukelia klaidų, kurios neleidžia kenkėjiškai programai paleisti po perkrovimo. Ši funkcija gali būti pataisyta vienoje iš kitų versijų, nes HP tyrėjai pastebi, kad „SVCReady“ vis dar aktyviai kuriama. Grėsmės veikėjai gali nurodyti kenkėjiškajai programai daryti savavališkas ekrano kopijas, paleisti apvalkalo komandas, paleisti pasirinktą failą arba gauti papildomų grėsmingų krovinių.