SVCReady

Penjenayah siber menggunakan pemuat perisian hasad yang tidak diketahui sebelum ini yang dihantar melalui serangan pancingan data. Butiran tentang ancaman dan kempen serangan yang berkaitan telah didedahkan kepada umum dalam laporan oleh HP. Menurut penemuan penyelidik, ancaman yang dikesan sebagai SCVReady menggunakan teknik luar biasa apabila ia dimuatkan ke peranti mangsa. Perlu diingat bahawa walaupun ancaman itu tidak boleh dikaitkan secara konklusif kepada kumpulan APT tertentu, terdapat hubungan tertentu antara kempen serangan dan operasi mengancam sebelum ini yang dijalankan oleh kumpulan TA551 (Shatack).

SVCReady diedarkan di dalam fail Word beracun yang dilampirkan pada e-mel memikat. Fail yang rosak masih menggunakan makro VBA untuk melaksanakan kod shell, yang seterusnya menghantar muatan dari lokasi terpencil. Walau bagaimanapun, dalam kes SVCReady, makro VBA dan shellcode dipisahkan, dengan penyerang menyembunyikan shellcode yang terjejas di dalam sifat fail. Sebaik sahaja ancaman telah digunakan pada sistem, ia akan melakukan pengumpulan maklumat awal melalui pertanyaan Pendaftaran dan panggilan API Windows. Data yang diperoleh kemudiannya akan dihantar ke pelayan Command-and-Control (C2, C&C). Komunikasi antara versi ancaman yang lebih baru dan pelayan C2nya disulitkan RC4.

Pemuat juga akan cuba memastikan sama ada ia dijalankan di dalam persekitaran maya dengan membuat dua pertanyaan WMI. Bergantung pada keputusan, SVCReady boleh tidur selama 30 minit. Bagi mekanisme kegigihannya, ancaman akan mewujudkan tugas berjadual dan kunci Pendaftaran baharu pada sistem yang dilanggar. Walau bagaimanapun, pelaksanaan ciri ini pada masa ini adalah cacat dan membawa kepada ralat yang menghalang perisian hasad daripada dilancarkan selepas but semula. Fungsi ini boleh diperbaiki dalam salah satu versi seterusnya, kerana penyelidik HP menyatakan bahawa SVCReady masih dalam pembangunan aktif. Pelaku ancaman boleh mengarahkan perisian hasad untuk mengambil tangkapan skrin sewenang-wenangnya, menjalankan arahan shell, menjalankan fail yang dipilih atau mengambil muatan mengancam tambahan.