SVCR gati

Nga Mezo në Malware, Advanced Persistent Threat (APT)

Përkthe në:

Kriminelët kibernetikë po përdorin një ngarkues malware të panjohur më parë të dorëzuar përmes sulmeve të phishing. Detajet në lidhje me kërcënimin dhe fushatat e sulmeve të lidhura me të u zbuluan për publikun në një raport nga HP. Sipas gjetjeve të studiuesve, kërcënimi i gjurmuar si SCVReady përdor një teknikë të pazakontë kur ngarkohet në pajisjen e viktimës. Duhet të theksohet se megjithëse kërcënimi nuk mund t'i atribuohet përfundimisht një grupi specifik APT, ekzistojnë lidhje të caktuara midis fushatës së sulmit dhe operacioneve të mëparshme kërcënuese të kryera nga grupi TA551 (Shatack).

SVCReady shpërndahet brenda skedarëve Word të helmuar të bashkangjitur për të joshur emailet. Skedarët e korruptuar ende përdorin makro VBA për të ekzekutuar kodin shell, i cili nga ana e tij dërgon ngarkesën nga një vendndodhje e largët. Megjithatë, në rastin e SVCReady, makrot VBA dhe shellcode janë të ndara, me sulmuesit që fshehin kodin e dëmtuar të guaskës brenda vetive të skedarit. Pasi kërcënimi të jetë vendosur në sistem, ai fillimisht do të kryejë mbledhjen fillestare të informacionit nëpërmjet pyetjeve të Regjistrit dhe thirrjeve të Windows API. Të dhënat e marra më pas do të transmetohen në një server Command-and-Control (C2, C&C). Komunikimi ndërmjet versioneve të mëvonshme të kërcënimit dhe serverit të tij C2 është i koduar RC4.

Ngarkuesi gjithashtu do të përpiqet të verifikojë nëse po ekzekutohet brenda një mjedisi të virtualizuar duke bërë dy pyetje WMI. Në varësi të rezultateve, SVCReady mund të hyjë në një gjumë 30-minutësh. Sa i përket mekanizmit të tij të qëndrueshmërisë, kërcënimi do të krijojë një detyrë të planifikuar dhe një çelës të ri Regjistri në sistemin e shkelur. Megjithatë, zbatimi i kësaj veçorie është aktualisht me të meta dhe çon në gabime që parandalojnë nisjen e malware pas një rindezjeje. Ky funksionalitet mund të rregullohet në një nga versionet e ardhshme, pasi studiuesit e HP-së vërejnë se SVCReady është ende në zhvillim aktiv. Aktorët e kërcënimit mund të udhëzojnë malware të marrë pamje arbitrare të ekranit, të ekzekutojë komandat e guaskës, të ekzekutojë një skedar të zgjedhur ose të marrë ngarkesa shtesë kërcënuese.

Kërko

Ndrysho Rajonin

SVCR gati

Dërgo koment

Në trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Më e shikuara

A është Lookmovie.io i sigurt?

DNS Unlocker

Mashtrimi me email "Geek Squad".