SVCReady

Kibernoziedznieki izmanto iepriekš nezināmu ļaunprātīgas programmatūras ielādētāju, kas tiek piegādāts, izmantojot pikšķerēšanas uzbrukumus. Sīkāka informācija par draudiem un ar tiem saistītajām uzbrukuma kampaņām sabiedrībai tika atklāta HP ziņojumā. Saskaņā ar pētnieku atklājumiem, apdraudējums, kas izsekots kā SCVReady, izmanto neparastu paņēmienu, kad tas tiek ielādēts upura ierīcē. Jāpiebilst, ka, lai gan draudus nevar pārliecinoši attiecināt uz konkrētu APT grupu, pastāv noteiktas saiknes starp uzbrukuma kampaņu un iepriekšējām draudu operācijām, ko veikusi grupa TA551 (Shatack).

SVCReady tiek izplatīts saindētos Word failos, kas pievienoti lure e-pastiem. Bojātie faili joprojām izmanto VBA makro, lai izpildītu čaulas kodu, kas savukārt piegādā lietderīgo slodzi no attālas vietas. Tomēr SVCReady gadījumā VBA makro un čaulas kods tiek sadalīti, uzbrucējiem slēpjot apdraudēto čaulas kodu faila rekvizītos. Kad draudi ir izvietoti sistēmā, tā vispirms veiks sākotnējo informācijas vākšanu, izmantojot reģistra vaicājumus un Windows API zvanus. Pēc tam iegūtie dati tiks pārsūtīti uz Command-and-Control (C2, C&C) serveri. Saziņa starp draudu jaunākajām versijām un tā C2 serveri ir RC4 šifrēta.

Ielādētājs arī mēģinās noskaidrot, vai tas tiek palaists virtualizētā vidē, veicot divus WMI vaicājumus. Atkarībā no rezultātiem SVCReady var ieiet 30 minūšu miega režīmā. Kas attiecas uz tā noturības mehānismu, apdraudējums izveidos ieplānotu uzdevumu un jaunu reģistra atslēgu bojātajā sistēmā. Tomēr šīs funkcijas ieviešana pašlaik ir kļūdaina un rada kļūdas, kas neļauj ļaunprātīgai programmatūrai palaist pēc atkārtotas palaišanas. Šo funkcionalitāti varētu labot kādā no nākamajām versijām, jo HP pētnieki atzīmē, ka SVCReady joprojām tiek aktīvi izstrādāts. Apdraudējumi var likt ļaunprogrammatūrai uzņemt patvaļīgus ekrānuzņēmumus, palaist čaulas komandas, palaist izvēlētu failu vai ienest papildu apdraudošas kravas.