SVCBereit

Cyberkriminelle verwenden einen zuvor unbekannten Malware-Loader, der über Phishing-Angriffe bereitgestellt wird. Details über die Bedrohung und die damit verbundenen Angriffskampagnen wurden der Öffentlichkeit in einem Bericht von HP bekannt gegeben. Nach den Erkenntnissen der Forscher verwendet die als SCVReady verfolgte Bedrohung eine ungewöhnliche Technik, wenn sie auf das Gerät des Opfers geladen wird. Es sei darauf hingewiesen, dass, obwohl die Bedrohung nicht eindeutig einer bestimmten APT-Gruppe zugeordnet werden kann, gewisse Verbindungen zwischen der Angriffskampagne und früheren Drohoperationen der Gruppe TA551 (Shatack) bestehen.

SVCReady wird in vergifteten Word-Dateien verteilt, die an Köder-E-Mails angehängt sind. Die beschädigten Dateien verwenden immer noch VBA-Makros, um Shellcode auszuführen, der wiederum die Nutzlast von einem entfernten Standort aus liefert. Im Fall von SVCReady werden die VBA-Makros und der Shellcode jedoch getrennt, wobei die Angreifer den kompromittierten Shellcode in den Dateieigenschaften verstecken. Sobald die Bedrohung auf dem System bereitgestellt wurde, werden zunächst erste Informationen über Registrierungsabfragen und Windows-API-Aufrufe gesammelt. Die erfassten Daten werden dann an einen Command-and-Control (C2, C&C)-Server übermittelt. Die Kommunikation zwischen den neueren Versionen der Bedrohung und ihrem C2-Server ist RC4-verschlüsselt.

Der Loader versucht auch festzustellen, ob er in einer virtualisierten Umgebung ausgeführt wird, indem er zwei WMI-Abfragen durchführt. Abhängig von den Ergebnissen könnte SVCReady in einen 30-minütigen Ruhezustand übergehen. Als Persistenzmechanismus erstellt die Bedrohung eine geplante Aufgabe und einen neuen Registrierungsschlüssel auf dem angegriffenen System. Die Implementierung dieser Funktion ist jedoch derzeit fehlerhaft und führt zu Fehlern, die verhindern, dass die Malware nach einem Neustart gestartet wird. Diese Funktionalität könnte in einer der nächsten Versionen behoben werden, da die Forscher von HP anmerken, dass sich SVCReady noch in der aktiven Entwicklung befindet. Die Bedrohungsakteure können die Malware anweisen, beliebige Screenshots zu machen, Shell-Befehle auszuführen, eine ausgewählte Datei auszuführen oder zusätzliche bedrohliche Payloads abzurufen.