SVC సిద్ధంగా

సైబర్ నేరస్థులు ఫిషింగ్ దాడుల ద్వారా పంపిణీ చేయబడిన మునుపు తెలియని మాల్వేర్ లోడర్‌ను ఉపయోగిస్తున్నారు. ముప్పు మరియు దాని సంబంధిత దాడి ప్రచారాల గురించిన వివరాలను HP ద్వారా ఒక నివేదికలో ప్రజలకు వెల్లడించారు. పరిశోధకుల పరిశోధనల ప్రకారం, SCVReadyగా ట్రాక్ చేయబడిన ముప్పు బాధితుడి పరికరంలో లోడ్ చేయబడినప్పుడు అసాధారణమైన సాంకేతికతను ఉపయోగిస్తుంది. నిర్దిష్ట APT సమూహానికి ముప్పు నిశ్చయంగా ఆపాదించబడనప్పటికీ, దాడి ప్రచారం మరియు TA551 (Shatack) సమూహం చేసిన మునుపటి బెదిరింపు కార్యకలాపాల మధ్య కొన్ని సంబంధాలు ఉన్నాయని గమనించాలి.

SVCready ఎర ఇమెయిల్‌లకు జోడించబడిన విషపూరిత వర్డ్ ఫైల్‌లలో పంపిణీ చేయబడుతుంది. పాడైన ఫైల్‌లు ఇప్పటికీ షెల్‌కోడ్‌ని అమలు చేయడానికి VBA మాక్రోలను ఉపయోగిస్తాయి, ఇది రిమోట్ లొకేషన్ నుండి పేలోడ్‌ను అందిస్తుంది. అయినప్పటికీ, SVCRready విషయంలో, VBA మాక్రోలు మరియు షెల్‌కోడ్ విడివిడిగా విభజించబడ్డాయి, దాడి చేసేవారు రాజీపడిన షెల్‌కోడ్‌ను ఫైల్ ప్రాపర్టీలలో దాచిపెడతారు. సిస్టమ్‌కు ముప్పు అమలులోకి వచ్చిన తర్వాత, ఇది మొదట రిజిస్ట్రీ ప్రశ్నలు మరియు Windows API కాల్‌ల ద్వారా ప్రాథమిక సమాచార సేకరణను నిర్వహిస్తుంది. పొందిన డేటా కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌కు బదిలీ చేయబడుతుంది. ముప్పు యొక్క తరువాతి సంస్కరణలు మరియు దాని C2 సర్వర్ మధ్య కమ్యూనికేషన్ RC4 గుప్తీకరించబడింది.

లోడర్ రెండు WMI ప్రశ్నలను చేయడం ద్వారా వర్చువలైజ్డ్ ఎన్విరాన్‌మెంట్‌లో అమలు చేయబడుతుందో లేదో తెలుసుకోవడానికి కూడా ప్రయత్నిస్తుంది. ఫలితాల ఆధారంగా, SVCRready 30 నిమిషాల నిద్రలోకి ప్రవేశించవచ్చు. దాని పెర్సిస్టెన్స్ మెకానిజం కొరకు, ముప్పు ఉల్లంఘన చేయబడిన సిస్టమ్‌పై షెడ్యూల్ చేసిన పనిని మరియు కొత్త రిజిస్ట్రీ కీని సృష్టిస్తుంది. అయితే, ఈ ఫీచర్ యొక్క అమలు ప్రస్తుతం లోపభూయిష్టంగా ఉంది మరియు రీబూట్ చేసిన తర్వాత మాల్వేర్ లాంచ్ కాకుండా నిరోధించే ఎర్రర్‌లకు దారి తీస్తుంది. SVCRready ఇప్పటికీ యాక్టివ్ డెవలప్‌మెంట్‌లో ఉందని HP పరిశోధకులు గమనించినందున, ఈ కార్యాచరణ తదుపరి సంస్కరణల్లో ఒకదానిలో పరిష్కరించబడుతుంది. బెదిరింపు నటులు ఏకపక్ష స్క్రీన్‌షాట్‌లను తీయమని, షెల్ ఆదేశాలను అమలు చేయమని, ఎంచుకున్న ఫైల్‌ను అమలు చేయమని లేదా అదనపు బెదిరింపు పేలోడ్‌లను పొందమని మాల్వేర్‌కు సూచించవచ్చు.