SVC Hazır

Siber suçlular, kimlik avı saldırıları yoluyla sağlanan önceden bilinmeyen bir kötü amaçlı yazılım yükleyici kullanıyor. Tehdit ve ilişkili saldırı kampanyalarıyla ilgili ayrıntılar, HP tarafından hazırlanan bir raporda kamuoyuna açıklandı. Araştırmacıların bulgularına göre SCVReady olarak izlenen tehdit, kurbanın cihazına yüklendiğinde alışılmadık bir teknik kullanıyor. Tehdit, kesin olarak belirli bir APT grubuna atfedilemese de, saldırı kampanyası ile TA551 (Shatack) grubu tarafından gerçekleştirilen önceki tehdit operasyonları arasında belirli bağlantılar olduğu belirtilmelidir.

SVCReady, e-postaları cezbetmek için eklenen zehirli Word dosyaları içinde dağıtılır. Bozuk dosyalar, kabuk kodunu yürütmek için hala VBA makrolarını kullanır ve bu da yükü uzak bir konumdan iletir. Ancak, SVCReady durumunda, VBA makroları ve kabuk kodu, saldırganların güvenliği ihlal edilmiş kabuk kodunu dosya özellikleri içinde saklayarak birbirinden ayrılır. Tehdit sisteme dağıtıldıktan sonra, ilk olarak Kayıt Defteri sorguları ve Windows API çağrıları aracılığıyla ilk bilgi toplama işlemini gerçekleştirir. Alınan veriler daha sonra bir Komuta ve Kontrol (C2, C&C) sunucusuna iletilecektir. Tehdidin sonraki sürümleri ile C2 sunucusu arasındaki iletişim RC4 şifrelidir.

Yükleyici ayrıca iki WMI sorgusu yaparak sanallaştırılmış bir ortamda çalıştırılıp çalıştırılmadığını belirlemeye çalışacaktır. Sonuçlara bağlı olarak, SVCReady 30 dakikalık bir uykuya girebilir. Kalıcılık mekanizmasına gelince, tehdit zamanlanmış bir görev ve ihlal edilen sistemde yeni bir Kayıt Defteri anahtarı oluşturacaktır. Ancak, bu özelliğin uygulanması şu anda kusurludur ve yeniden başlatmanın ardından kötü amaçlı yazılımın başlatılmasını engelleyen hatalara yol açar. HP araştırmacıları, SVCReady'nin hala aktif geliştirme aşamasında olduğunu belirttiğinden, bu işlevsellik sonraki sürümlerden birinde düzeltilebilir. Tehdit aktörleri, kötü amaçlı yazılıma rastgele ekran görüntüleri alma, kabuk komutları çalıştırma, seçilen bir dosyayı çalıştırma veya ek tehdit edici yükler getirme talimatı verebilir.