SVCReady

Cyberprzestępcy korzystają z nieznanego wcześniej programu ładującego złośliwe oprogramowanie dostarczanego za pośrednictwem ataków phishingowych. Szczegóły dotyczące zagrożenia i powiązanych z nim kampanii ataków zostały ujawnione opinii publicznej w raporcie HP. Zgodnie z ustaleniami naukowców, zagrożenie śledzone jako SCVReady wykorzystuje niezwykłą technikę, gdy jest ładowane na urządzenie ofiary. Należy zauważyć, że chociaż zagrożenia nie można jednoznacznie przypisać konkretnej grupie APT, istnieją pewne powiązania między kampanią ataku a wcześniejszymi groźnymi operacjami prowadzonymi przez grupę TA551 (Shatack).

SVCReady jest dystrybuowany w zatrutych plikach Worda dołączanych do e-maili zwabionych. Uszkodzone pliki nadal używają makr VBA do wykonywania kodu powłoki, który z kolei dostarcza ładunek ze zdalnej lokalizacji. Jednak w przypadku SVCReady makra VBA i kod powłoki są rozdzielone, a atakujący ukrywają zhakowany kod powłoki we właściwościach pliku. Gdy zagrożenie zostanie wdrożone w systemie, najpierw przeprowadzi wstępne zbieranie informacji za pomocą zapytań do rejestru i wywołań interfejsu API systemu Windows. Zebrane dane zostaną następnie przesłane do serwera Command-and-Control (C2, C&C). Komunikacja między nowszymi wersjami zagrożenia a jego serwerem C2 jest szyfrowana RC4.

Moduł ładujący spróbuje również ustalić, czy jest uruchamiany w środowisku zwirtualizowanym, wykonując dwa zapytania WMI. W zależności od wyników SVCReady może wejść w 30-minutowy sen. Jeśli chodzi o mechanizm trwałości, zagrożenie utworzy zaplanowane zadanie i nowy klucz rejestru w naruszonym systemie. Jednak implementacja tej funkcji jest obecnie błędna i prowadzi do błędów, które uniemożliwiają uruchomienie złośliwego oprogramowania po ponownym uruchomieniu. Funkcjonalność ta mogłaby zostać naprawiona w jednej z kolejnych wersji, ponieważ badacze HP zauważają, że SVCReady jest nadal aktywnie rozwijany. Aktorzy zagrożeń mogą poinstruować złośliwe oprogramowanie, aby wykonało dowolne zrzuty ekranu, uruchomiło polecenia powłoki, uruchomiło wybrany plik lub pobrało dodatkowe groźne ładunki.