SVC 就绪
网络犯罪分子正在使用通过网络钓鱼攻击传递的以前未知的恶意软件加载程序。惠普在一份报告中向公众披露了有关威胁及其相关攻击活动的详细信息。根据研究人员的发现,被跟踪为 SCVReady 的威胁在加载到受害者的设备上时使用了一种不寻常的技术。应该指出的是,虽然无法将威胁最终归咎于特定的 APT 组织,但攻击活动与 TA551(Shatack)组织先前进行的威胁行动之间存在一定的联系。
SVCReady 分布在附在诱饵电子邮件中的中毒 Word 文件中。损坏的文件仍然使用 VBA 宏来执行 shellcode,然后从远程位置传递有效负载。然而,在 SVCReady 的情况下,VBA 宏和 shellcode 是分开的,攻击者将受感染的 shellcode 隐藏在文件属性中。威胁部署到系统后,它将首先通过注册表查询和 Windows API 调用执行初始信息收集。然后将获取的数据传输到命令和控制(C2、C&C)服务器。更高版本的威胁与其 C2 服务器之间的通信是 RC4 加密的。
加载程序还将尝试通过进行两个 WMI 查询来确定它是否在虚拟化环境中运行。根据结果,SVCReady 可以进入 30 分钟的睡眠。至于其持久性机制,威胁将在被破坏的系统上创建一个计划任务和一个新的注册表项。但是,此功能的实施目前存在缺陷,并导致错误导致恶意软件在重新启动后无法启动。此功能可能会在下一个版本中得到修复,因为惠普的研究人员指出,SVCReady 仍在积极开发中。威胁参与者可以指示恶意软件截取任意屏幕截图、运行 shell 命令、运行选定文件或获取额外的威胁有效载荷。
