SVCReady

Kibernetski kriminalci uporabljajo prej neznan nalagalnik zlonamerne programske opreme, ki je bil dostavljen z lažnim predstavljanjem. Podrobnosti o grožnji in z njo povezanimi napadi so javnosti razkrili v poročilu HP. Po ugotovitvah raziskovalcev grožnja, ki je bila sledena kot SCVReady, uporablja nenavadno tehniko, ko se naloži na žrtvino napravo. Opozoriti je treba, da čeprav grožnje ni mogoče dokončno pripisati določeni skupini APT, obstajajo določene povezave med napadalno kampanjo in prejšnjimi grozečimi operacijami, ki jih je izvajala skupina TA551 (Shatack).

SVCReady se distribuira znotraj zastrupljenih Wordovih datotek, priloženih vabljivim e-poštnim sporočilom. Poškodovane datoteke še vedno uporabljajo makre VBA za izvajanje shellcode, ki nato dostavi koristno obremenitev z oddaljene lokacije. Vendar pa so v primeru SVCReady makri VBA in shellcode ločeni, pri čemer napadalci skrijejo ogroženo kodo lupine znotraj lastnosti datoteke. Ko je grožnja nameščena v sistemu, bo najprej izvedel začetno zbiranje informacij prek poizvedb v registru in klicev Windows API. Pridobljeni podatki bodo nato posredovani strežniku za upravljanje in nadzor (C2, C&C). Komunikacija med poznejšimi različicami grožnje in njenim strežnikom C2 je šifrirana RC4.

Nalagalnik bo tudi poskušal ugotoviti, ali se izvaja v virtualiziranem okolju, tako da naredi dve poizvedbi WMI. Glede na rezultate lahko SVCReady preide v 30-minutni spanec. Kar zadeva njegov obstojni mehanizem, bo grožnja ustvarila načrtovano opravilo in nov registrski ključ v vlomljenem sistemu. Vendar pa je implementacija te funkcije trenutno pomanjkljiva in vodi do napak, ki preprečujejo zagon zlonamerne programske opreme po ponovnem zagonu. To funkcionalnost bi lahko popravili v eni od naslednjih različic, saj HP-jevi raziskovalci ugotavljajo, da je SVCReady še vedno v aktivnem razvoju. Udeleženci grožnje lahko naročijo zlonamerni programski opremi, naj naredi poljubne posnetke zaslona, zažene ukaze lupine, zažene izbrano datoteko ali pridobi dodatne nevarne koristne podatke.

V trendu

Najbolj gledan

Nalaganje...