SVCReady

Infractorii cibernetici folosesc un încărcător de malware necunoscut anterior, furnizat prin atacuri de phishing. Detalii despre amenințare și campaniile de atac asociate acesteia au fost dezvăluite publicului într-un raport al HP. Conform constatărilor cercetătorilor, amenințarea urmărită ca SCVReady folosește o tehnică neobișnuită atunci când este încărcată pe dispozitivul victimei. Trebuie remarcat faptul că, deși amenințarea nu poate fi atribuită în mod concludent unui anumit grup APT, există anumite legături între campania de atac și operațiunile anterioare de amenințare efectuate de grupul TA551 (Shatack).

SVCReady este distribuit în fișierele Word otrăvite atașate la e-mailurile ademenite. Fișierele corupte încă folosesc macrocomenzi VBA pentru a executa shellcode, care, la rândul său, livrează sarcina utilă dintr-o locație de la distanță. Cu toate acestea, în cazul SVCReady, macrocomenzile VBA și codul shell sunt împărțite, atacatorii ascunzând codul shell compromis în interiorul proprietăților fișierului. Odată ce amenințarea a fost implementată în sistem, acesta va efectua mai întâi colectarea inițială a informațiilor prin interogări de registry și apeluri API Windows. Datele dobândite vor fi apoi transmise către un server de comandă și control (C2, C&C). Comunicarea dintre versiunile ulterioare ale amenințării și serverul său C2 este criptată RC4.

De asemenea, încărcătorul va încerca să stabilească dacă este rulat într-un mediu virtualizat, făcând două interogări WMI. În funcție de rezultate, SVCReady ar putea intra într-un somn de 30 de minute. În ceea ce privește mecanismul său de persistență, amenințarea va crea o sarcină programată și o nouă cheie de registru pe sistemul încălcat. Cu toate acestea, implementarea acestei caracteristici este în prezent defectuoasă și duce la erori care împiedică lansarea malware-ului după o repornire. Această funcționalitate ar putea fi remediată într-una dintre versiunile următoare, deoarece cercetătorii HP notează că SVCReady este încă în dezvoltare activă. Actorii amenințărilor pot instrui malware-ul să facă capturi de ecran arbitrare, să execute comenzi shell, să ruleze un fișier ales sau să preia încărcături utile suplimentare amenințătoare.