Klaar voor SVC

Cybercriminelen gebruiken een voorheen onbekende malware-loader die via phishing-aanvallen werd geleverd. Details over de dreiging en de bijbehorende aanvalscampagnes werden openbaar gemaakt in een rapport van HP. Volgens de bevindingen van de onderzoekers wordt de dreiging gevolgd omdat SCVReady een ongebruikelijke techniek gebruikt wanneer deze op het apparaat van het slachtoffer wordt geladen. Opgemerkt moet worden dat hoewel de dreiging niet definitief kan worden toegeschreven aan een specifieke APT-groep, er bepaalde verbanden zijn tussen de aanvalscampagne en eerdere bedreigende operaties die zijn uitgevoerd door de TA551 (Shatack) groep.

SVCReady wordt verspreid in vergiftigde Word-bestanden die zijn bijgevoegd om e-mails te lokken. De beschadigde bestanden gebruiken nog steeds VBA-macro's om shellcode uit te voeren, die op zijn beurt de payload van een externe locatie aflevert. In het geval van SVCReady zijn de VBA-macro's en de shellcode echter gescheiden, waarbij de aanvallers de gecompromitteerde shellcode in de bestandseigenschappen verbergen. Zodra de dreiging op het systeem is geïmplementeerd, zal het eerst de eerste informatieverzameling uitvoeren via registerquery's en Windows API-aanroepen. De verkregen gegevens worden vervolgens verzonden naar een Command-and-Control (C2, C&C) server. De communicatie tussen de latere versies van de dreiging en de C2-server is RC4-versleuteld.

De loader zal ook proberen vast te stellen of deze in een gevirtualiseerde omgeving wordt uitgevoerd door twee WMI-query's te maken. Afhankelijk van de resultaten kan SVCReady in een slaapstand van 30 minuten gaan. Wat betreft het persistentiemechanisme, zal de dreiging een geplande taak en een nieuwe registersleutel op het geschonden systeem creëren. De implementatie van deze functie is momenteel echter gebrekkig en leidt tot fouten die voorkomen dat de malware wordt gestart na een herstart. Deze functionaliteit zou in een van de volgende versies kunnen worden opgelost, aangezien HP's onderzoekers opmerken dat SVCReady nog volop in ontwikkeling is. De dreigingactoren kunnen de malware instrueren om willekeurige schermafbeeldingen te maken, shell-commando's uit te voeren, een gekozen bestand uit te voeren of extra bedreigende payloads op te halen.