SVCReady

อาชญากรไซเบอร์ใช้ตัวโหลดมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ซึ่งส่งผ่านการโจมตีแบบฟิชชิ่ง รายละเอียดเกี่ยวกับภัยคุกคามและแคมเปญการโจมตีที่เกี่ยวข้องถูกเปิดเผยต่อสาธารณะในรายงานของ HP จากการค้นพบของนักวิจัย ภัยคุกคามที่ถูกติดตามโดย SCVReady ใช้เทคนิคที่ผิดปกติเมื่อโหลดลงในอุปกรณ์ของเหยื่อ ควรสังเกตว่าแม้ว่าภัยคุกคามจะไม่สามารถสรุปได้ว่ามาจากกลุ่ม APT ใดกลุ่มหนึ่ง แต่ก็มีการเชื่อมโยงบางอย่างระหว่างการรณรงค์โจมตีและการคุกคามก่อนหน้านี้ที่ดำเนินการโดยกลุ่ม TA551 (Shatack)

SVCReady ถูกแจกจ่ายในไฟล์ Word ที่เป็นพิษซึ่งแนบมาเพื่อหลอกล่ออีเมล ไฟล์ที่เสียหายยังคงใช้มาโคร VBA เพื่อรันเชลล์โค้ด ซึ่งจะส่งเพย์โหลดจากตำแหน่งระยะไกล อย่างไรก็ตาม ในกรณีของ SVCReady แมโคร VBA และเชลล์โค้ดจะแยกจากกัน โดยผู้โจมตีจะซ่อนรหัสเชลล์ที่ถูกบุกรุกภายในคุณสมบัติของไฟล์ เมื่อภัยคุกคามถูกปรับใช้กับระบบแล้ว อันดับแรกจะดำเนินการรวบรวมข้อมูลเบื้องต้นผ่านการสืบค้นรีจิสทรีและการเรียก Windows API ข้อมูลที่ได้รับจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) การสื่อสารระหว่างภัยคุกคามรุ่นที่ใหม่กว่าและเซิร์ฟเวอร์ C2 นั้นถูกเข้ารหัส RC4

ตัวโหลดจะพยายามตรวจสอบด้วยว่ามีการเรียกใช้ในสภาพแวดล้อมเสมือนจริงหรือไม่โดยทำการสืบค้น WMI สองครั้ง SVCReady สามารถเข้าสู่โหมดสลีป 30 นาทีทั้งนี้ขึ้นอยู่กับผลลัพธ์ สำหรับกลไกการคงอยู่ ภัยคุกคามจะสร้างงานที่กำหนดเวลาไว้และคีย์รีจิสทรีใหม่บนระบบที่ละเมิด อย่างไรก็ตาม การใช้งานคุณลักษณะนี้มีข้อบกพร่องและนำไปสู่ข้อผิดพลาดที่ป้องกันไม่ให้มัลแวร์เริ่มทำงานหลังจากรีบูต ฟังก์ชันนี้สามารถแก้ไขได้ในเวอร์ชันถัดไป เนื่องจากนักวิจัยของ HP ทราบว่า SVCReady ยังอยู่ระหว่างการพัฒนา ผู้คุกคามสามารถสั่งให้มัลแวร์ถ่ายภาพหน้าจอตามอำเภอใจ เรียกใช้คำสั่งเชลล์ เรียกใช้ไฟล์ที่เลือก หรือดึงข้อมูลเพย์โหลดที่เป็นอันตรายเพิ่มเติม