Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Malware SVCReady

SVCReady

Đến năm Mezo năm Malware, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Tội phạm mạng đang sử dụng một trình tải phần mềm độc hại không xác định trước đây được phân phối thông qua các cuộc tấn công lừa đảo. Thông tin chi tiết về mối đe dọa và các chiến dịch tấn công liên quan của nó đã được HP tiết lộ cho công chúng trong một báo cáo. Theo phát hiện của các nhà nghiên cứu, mối đe dọa được theo dõi là SCVReady sử dụng một kỹ thuật bất thường khi nó được tải vào thiết bị của nạn nhân. Cần lưu ý rằng mặc dù không thể kết luận mối đe dọa là do một nhóm APT cụ thể, nhưng có một số mối liên hệ nhất định giữa chiến dịch tấn công và các hoạt động đe dọa trước đó do nhóm TA551 (Shatack) thực hiện.

SVCReady được phân phối bên trong các tệp Word bị nhiễm độc được đính kèm để thu hút email. Các tệp bị hỏng vẫn sử dụng macro VBA để thực thi shellcode, do đó sẽ phân phối tải trọng từ một vị trí từ xa. Tuy nhiên, trong trường hợp SVCReady, các macro VBA và mã shellcode được tách ra, với những kẻ tấn công ẩn shellcode bị xâm phạm bên trong các thuộc tính tệp. Khi mối đe dọa đã được triển khai đến hệ thống, trước tiên nó sẽ thực hiện thu thập thông tin ban đầu thông qua các truy vấn Registry và lệnh gọi Windows API. Dữ liệu thu được sau đó sẽ được truyền đến máy chủ Command-and-Control (C2, C&C). Giao tiếp giữa các phiên bản sau của mối đe dọa và máy chủ C2 của nó được mã hóa RC4.

Trình tải cũng sẽ cố gắng xác định xem nó có đang được chạy bên trong môi trường ảo hóa hay không bằng cách thực hiện hai truy vấn WMI. Tùy thuộc vào kết quả, SVCReady có thể đi vào giấc ngủ 30 phút. Đối với cơ chế bền bỉ của nó, mối đe dọa sẽ tạo ra một tác vụ đã lên lịch và một khóa Đăng ký mới trên hệ thống bị vi phạm. Tuy nhiên, việc triển khai tính năng này hiện còn thiếu sót và dẫn đến lỗi ngăn phần mềm độc hại khởi chạy sau khi khởi động lại. Chức năng này có thể được sửa trong một trong các phiên bản tiếp theo, vì các nhà nghiên cứu của HP lưu ý rằng SVCReady vẫn đang được phát triển tích cực. Các tác nhân đe dọa có thể hướng dẫn phần mềm độc hại chụp ảnh màn hình tùy ý, chạy lệnh shell, chạy tệp đã chọn hoặc tìm nạp thêm các tải trọng đe dọa.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...