SVCKlar

Nettkriminelle bruker en tidligere ukjent malware-laster levert via phishing-angrep. Detaljer om trusselen og dens tilhørende angrepskampanjer ble avslørt for offentligheten i en rapport fra HP. Ifølge funnene til forskerne bruker trusselen sporet som SCVReady en uvanlig teknikk når den lastes inn på offerets enhet. Det skal bemerkes at selv om trusselen ikke endelig kan tilskrives en spesifikk APT-gruppe, er det visse koblinger mellom angrepskampanjen og tidligere truende operasjoner utført av TA551 (Shatack)-gruppen.

SVCReady er distribuert i forgiftede Word-filer som er vedlagt for å lokke e-poster. De korrupte filene bruker fortsatt VBA-makroer for å utføre shellcode, som igjen leverer nyttelasten fra et eksternt sted. Når det gjelder SVCReady, er imidlertid VBA-makroene og skallkoden delt fra hverandre, og angriperne skjuler den kompromitterte skallkoden inne i filegenskapene. Når trusselen har blitt distribuert til systemet, vil den først utføre innledende informasjonsinnsamling via registerspørringer og Windows API-kall. De innhentede dataene vil deretter bli overført til en Command-and-Control-server (C2, C&C). Kommunikasjon mellom de senere versjonene av trusselen og dens C2-server er RC4-kryptert.

Lasteren vil også prøve å finne ut om den kjøres i et virtualisert miljø ved å lage to WMI-spørringer. Avhengig av resultatene kan SVCReady gå inn i en 30-minutters søvn. Når det gjelder utholdenhetsmekanismen, vil trusselen skape en planlagt oppgave og en ny registernøkkel på det brutte systemet. Imidlertid er implementeringen av denne funksjonen for øyeblikket feil og fører til feil som forhindrer skadelig programvare i å starte etter en omstart. Denne funksjonaliteten kan fikses i en av de neste versjonene, ettersom HPs forskere konstaterer at SVCReady fortsatt er under aktiv utvikling. Trusselaktørene kan instruere skadevaren til å ta vilkårlige skjermbilder, kjøre skallkommandoer, kjøre en valgt fil eller hente flere truende nyttelaster.