SVC 就緒
網絡犯罪分子正在使用通過網絡釣魚攻擊傳遞的以前未知的惡意軟件加載程序。惠普在一份報告中向公眾披露了有關威脅及其相關攻擊活動的詳細信息。根據研究人員的發現,被跟踪為 SCVReady 的威脅在加載到受害者的設備上時使用了一種不尋常的技術。應該指出的是,雖然無法將威脅最終歸咎於特定的 APT 組織,但攻擊活動與 TA551(Shatack)組織先前進行的威脅行動之間存在一定的聯繫。
SVCReady 分佈在附在誘餌電子郵件中的中毒 Word 文件中。損壞的文件仍然使用 VBA 宏來執行 shellcode,然後從遠程位置傳遞有效負載。然而,在 SVCReady 的情況下,VBA 宏和 shellcode 是分開的,攻擊者將受感染的 shellcode 隱藏在文件屬性中。威脅部署到系統後,它將首先通過註冊表查詢和 Windows API 調用執行初始信息收集。然後將獲取的數據傳輸到命令和控制(C2、C&C)服務器。更高版本的威脅與其 C2 服務器之間的通信是 RC4 加密的。
加載程序還將嘗試通過進行兩個 WMI 查詢來確定它是否在虛擬化環境中運行。根據結果,SVCReady 可以進入 30 分鐘的睡眠。至於其持久性機制,威脅將在被破壞的系統上創建一個計劃任務和一個新的註冊表項。但是,此功能的實施目前存在缺陷,並導致錯誤導致惡意軟件在重新啟動後無法啟動。此功能可能會在下一個版本中得到修復,因為惠普的研究人員指出,SVCReady 仍在積極開發中。威脅參與者可以指示惡意軟件截取任意屏幕截圖、運行 shell 命令、運行選定文件或獲取額外的威脅有效載荷。
