SVCReady
Gumagamit ang mga cybercriminal ng dati nang hindi kilalang malware loader na inihatid sa pamamagitan ng mga pag-atake ng phishing. Ang mga detalye tungkol sa banta at ang nauugnay na mga kampanya sa pag-atake ay inihayag sa publiko sa isang ulat ng HP. Ayon sa mga natuklasan ng mga mananaliksik, ang banta na sinusubaybayan bilang SCVReady ay gumagamit ng hindi pangkaraniwang pamamaraan kapag ito ay ikinarga sa device ng biktima. Dapat tandaan na bagama't ang banta ay hindi maaaring tiyak na maiugnay sa isang partikular na grupo ng APT, may ilang partikular na ugnayan sa pagitan ng kampanya ng pag-atake at mga nakaraang pagbabanta na operasyon na isinagawa ng pangkat na TA551 (Shatack).
Ang SVCReady ay ipinamamahagi sa loob ng mga poisoned na Word file na naka-attach sa mga email na pang-akit. Ang mga sirang file ay gumagamit pa rin ng mga VBA macros upang maisagawa ang shellcode, na naghahatid naman ng payload mula sa isang malayong lokasyon. Gayunpaman, sa kaso ng SVCReady, ang mga VBA macro at ang shellcode ay nahati, kung saan ang mga umaatake ay nagtatago ng nakompromisong shellcode sa loob ng mga katangian ng file. Kapag na-deploy na ang banta sa system, magsasagawa muna ito ng paunang pangangalap ng impormasyon sa pamamagitan ng mga query sa Registry at mga tawag sa Windows API. Ang nakuhang data ay ipapadala sa isang Command-and-Control (C2, C&C) server. Ang komunikasyon sa pagitan ng mga susunod na bersyon ng pagbabanta at ang C2 server nito ay RC4 na naka-encrypt.
Susubukan din ng loader na tiyakin kung ito ay pinapatakbo sa loob ng isang virtualized na kapaligiran sa pamamagitan ng paggawa ng dalawang query sa WMI. Depende sa mga resulta, maaaring pumasok ang SVCReady ng 30 minutong pagtulog. Tulad ng para sa mekanismo ng pagtitiyaga nito, ang banta ay lilikha ng isang naka-iskedyul na gawain at isang bagong Registry key sa nalabag na sistema. Gayunpaman, ang pagpapatupad ng tampok na ito ay kasalukuyang may depekto at humahantong sa mga error na pumipigil sa malware mula sa paglulunsad pagkatapos ng pag-reboot. Maaaring maayos ang pagpapaandar na ito sa isa sa mga susunod na bersyon, dahil napapansin ng mga mananaliksik ng HP na ang SVCReady ay nasa ilalim pa rin ng aktibong pag-unlad. Maaaring turuan ng mga banta ng aktor ang malware na kumuha ng mga arbitrary na screenshot, magpatakbo ng mga shell command, magpatakbo ng napiling file o kumuha ng mga karagdagang nagbabantang payload.
