SVCRedo

Cyberkriminella använder en tidigare okänd skadlig programvara som levereras via nätfiskeattacker. Detaljer om hotet och dess associerade attackkampanjer avslöjades för allmänheten i en rapport från HP. Enligt forskarnas resultat använder hotet som spåras som SCVReady en ovanlig teknik när det laddas på offrets enhet. Det bör noteras att även om hotet inte definitivt kan hänföras till en specifik APT-grupp, finns det vissa kopplingar mellan attackkampanjen och tidigare hotfulla operationer utförda av TA551 (Shatack)-gruppen.

SVCReady distribueras inuti förgiftade Word-filer bifogade för att locka e-post. De skadade filerna använder fortfarande VBA-makron för att exekvera skalkod, som i sin tur levererar nyttolasten från en avlägsen plats. Men i fallet med SVCReady delas VBA-makron och skalkoden isär, och angriparna gömmer den komprometterade skalkoden i filegenskaperna. När hotet har distribuerats till systemet kommer det först att utföra inledande informationsinsamling via registerfrågor och Windows API-anrop. Den inhämtade datan kommer sedan att överföras till en Command-and-Control-server (C2, C&C). Kommunikationen mellan de senare versionerna av hotet och dess C2-server är RC4-krypterad.

Laddaren kommer också att försöka fastställa om den körs i en virtualiserad miljö genom att göra två WMI-frågor. Beroende på resultaten kan SVCReady gå in i en 30-minuters sömn. När det gäller dess uthållighetsmekanism kommer hotet att skapa en schemalagd uppgift och en ny registernyckel på det brutna systemet. Men implementeringen av den här funktionen är för närvarande felaktig och leder till fel som förhindrar skadlig programvara från att starta efter en omstart. Denna funktionalitet skulle kunna fixas i en av de kommande versionerna, eftersom HP:s forskare noterar att SVCReady fortfarande är under aktiv utveckling. Hotaktörerna kan instruera skadlig programvara att ta godtyckliga skärmdumpar, köra skalkommandon, köra en vald fil eller hämta ytterligare hotfulla nyttolaster.