Лицензии на несколько устройств (оптовые скидки)
Threat Database Malware SVCReady

SVCReady

К Mezo году в Malware, Advanced Persistent Threat (APT) году
Перевести на:
Русский

Киберпреступники используют ранее неизвестный загрузчик вредоносных программ, доставленный с помощью фишинговых атак. Подробности об угрозе и связанных с ней атаках были раскрыты общественности в отчете HP. Согласно выводам исследователей, отслеживаемая как SCVReady угроза использует необычную технику при загрузке на устройство жертвы. Следует отметить, что, хотя нельзя однозначно отнести угрозу к конкретной APT-группе, существуют определенные связи между кампанией атаки и предыдущими угрожающими операциями, проведенными группой TA551 (Shatack).

SVCReady распространяется внутри зараженных файлов Word, прикрепленных к электронным письмам-приманкам. Поврежденные файлы по-прежнему используют макросы VBA для выполнения шелл-кода, который, в свою очередь, доставляет полезную нагрузку из удаленного места. Однако в случае с SVCReady макросы VBA и шелл-код разделены, и злоумышленники прячут скомпрометированный шелл-код в свойствах файла. Как только угроза будет развернута в системе, она сначала выполнит первоначальный сбор информации с помощью запросов к реестру и вызовов Windows API. Затем полученные данные будут переданы на сервер управления и контроля (C2, C&C). Связь между более поздними версиями угрозы и ее C2-сервером зашифрована по стандарту RC4.

Загрузчик также попытается выяснить, выполняется ли он в виртуализированной среде, выполнив два запроса WMI. В зависимости от результатов SVCReady может перейти в 30-минутный спящий режим. Что касается его механизма сохранения, угроза создаст запланированную задачу и новый ключ реестра в взломанной системе. Однако реализация этой функции в настоящее время имеет недостатки и приводит к ошибкам, препятствующим запуску вредоносного ПО после перезагрузки. Эта функциональность может быть исправлена в одной из следующих версий, поскольку исследователи HP отмечают, что SVCReady все еще находится в активной разработке. Злоумышленники могут поручить вредоносным программам делать произвольные снимки экрана, запускать команды оболочки, запускать выбранный файл или получать дополнительные опасные полезные данные.

В тренде

Наиболее просматриваемые

Загрузка...