SVCRady

Kyberzločinci používajú predtým neznámy nakladač malvéru doručený prostredníctvom phishingových útokov. Podrobnosti o hrozbe a s ňou spojených útočných kampaniach odhalila verejnosť v správe spoločnosti HP. Podľa zistení výskumníkov používa hrozba sledovaná ako SCVReady nezvyčajnú techniku, keď sa načíta do zariadenia obete. Treba poznamenať, že hoci hrozbu nemožno jednoznačne pripísať konkrétnej skupine APT, existujú určité prepojenia medzi útočnou kampaňou a predchádzajúcimi výhražnými operáciami, ktoré vykonala skupina TA551 (Shatack).

SVCReady sa distribuuje v otrávených súboroch Word pripojených k e-mailom s návnadou. Poškodené súbory stále používajú makrá VBA na spustenie shell kódu, ktorý zase dodáva užitočné zaťaženie zo vzdialeného miesta. V prípade SVCReady sú však makrá VBA a shell kód rozdelené, pričom útočníci skrývajú napadnutý shell kód vo vlastnostiach súboru. Po nasadení hrozby do systému najskôr vykoná prvotné zhromaždenie informácií prostredníctvom dotazov databázy Registry a volaní rozhrania Windows API. Získané údaje sa potom prenesú na server Command-and-Control (C2, C&C). Komunikácia medzi novšími verziami hrozby a jej serverom C2 je šifrovaná RC4.

Zavádzač sa tiež pokúsi zistiť, či je spustený vo virtualizovanom prostredí, vytvorením dvoch dotazov WMI. V závislosti od výsledkov môže SVCReady prejsť do 30-minútového spánku. Pokiaľ ide o mechanizmus pretrvávania, hrozba vytvorí naplánovanú úlohu a nový kľúč databázy Registry na narušenom systéme. Implementácia tejto funkcie je však v súčasnosti chybná a vedie k chybám, ktoré bránia spusteniu malvéru po reštarte. Táto funkcia by mohla byť opravená v jednej z ďalších verzií, keďže výskumníci HP poznamenávajú, že SVCReady je stále v aktívnom vývoji. Aktéri hrozby môžu inštruovať malvér, aby urobil ľubovoľné snímky obrazovky, spustil príkazy shellu, spustil vybraný súbor alebo načítal ďalšie hrozivé užitočné zaťaženia.