SVCR तयार
साइबर अपराधीहरूले फिसिङ आक्रमणहरू मार्फत डेलिभर गरिएको पहिलेको अज्ञात मालवेयर लोडर प्रयोग गर्दैछन्। HP द्वारा एक रिपोर्टमा खतरा र यससँग सम्बन्धित आक्रमण अभियानहरूको विवरण सार्वजनिक गरिएको थियो। अनुसन्धानकर्ताहरूको निष्कर्ष अनुसार, SCVReady को रूपमा ट्र्याक गरिएको खतराले पीडितको उपकरणमा लोड गर्दा असामान्य प्रविधि प्रयोग गर्दछ। यो ध्यान दिनुपर्छ कि यद्यपि धम्कीलाई निश्चित रूपमा एपीटी समूहलाई श्रेय दिन सकिँदैन, त्यहाँ आक्रमण अभियान र TA551 (Shatack) समूहद्वारा गरिएको अघिल्लो धम्कीपूर्ण कार्यहरू बीच निश्चित सम्बन्धहरू छन्।
SVCReady लाई लर इमेलहरूमा संलग्न विषाक्त वर्ड फाइलहरू भित्र वितरण गरिएको छ। भ्रष्ट फाइलहरूले अझै पनि शेलकोड कार्यान्वयन गर्न VBA म्याक्रोहरू प्रयोग गर्दछ, जसले बारीमा टाढाको स्थानबाट पेलोड प्रदान गर्दछ। यद्यपि, SVCRready को मामलामा, VBA म्याक्रोहरू र शेलकोडहरू विभाजित हुन्छन्, आक्रमणकारीहरूले फाइल गुणहरू भित्र सम्झौता गरिएको शेलकोड लुकाउँछन्। प्रणालीमा धम्की आएपछि, यसले पहिलो पटक रजिस्ट्री क्वेरीहरू र Windows API कलहरू मार्फत प्रारम्भिक जानकारी सङ्कलन गर्नेछ। प्राप्त डाटा त्यसपछि कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरमा पठाइनेछ। खतराको पछिल्लो संस्करण र यसको C2 सर्भर बीचको सञ्चार RC4 इन्क्रिप्टेड छ।
लोडरले दुईवटा WMI क्वेरीहरू बनाएर भर्चुअलाइज्ड वातावरण भित्र चलिरहेको छ कि छैन भनेर पत्ता लगाउने प्रयास गर्नेछ। परिणामहरूमा निर्भर गर्दै, SVCReady ले 30-मिनेट निद्रामा प्रवेश गर्न सक्छ। यसको दृढता संयन्त्रको रूपमा, धम्कीले अनुसूचित कार्य र उल्लंघन गरिएको प्रणालीमा नयाँ रजिस्ट्री कुञ्जी सिर्जना गर्नेछ। यद्यपि, यो सुविधाको कार्यान्वयन हाल त्रुटिपूर्ण छ र त्रुटिहरू निम्त्याउँछ जसले मालवेयरलाई रिबुट पछि सुरु हुनबाट रोक्छ। यो कार्यक्षमता अर्को संस्करणहरू मध्ये एकमा निश्चित गर्न सकिन्छ, HP का अनुसन्धानकर्ताहरूले नोट गरे कि SVCReady अझै सक्रिय विकास अन्तर्गत छ। धम्की दिने व्यक्तिहरूले मालवेयरलाई मनमानी स्क्रिनसटहरू लिन, शेल आदेशहरू चलाउन, छनौट गरिएको फाइल चलाउन वा थप धम्की दिने पेलोडहरू ल्याउन निर्देशन दिन सक्छन्।
