SVCReady

Les cybercriminels utilisent un chargeur de logiciels malveillants jusqu'alors inconnu diffusé via des attaques de phishing. Des détails sur la menace et ses campagnes d'attaque associées ont été révélés au public dans un rapport de HP. Selon les conclusions des chercheurs, la menace suivie en tant que SCVReady utilise une technique inhabituelle lorsqu'elle est chargée sur l'appareil de la victime. Il convient de noter que bien que la menace ne puisse être attribuée de manière concluante à un groupe APT spécifique, il existe certains liens entre la campagne d'attaque et les opérations menaçantes précédentes menées par le groupe TA551 (Shatack).

SVCReady est distribué dans des fichiers Word empoisonnés joints à des e-mails leurres. Les fichiers corrompus utilisent toujours des macros VBA pour exécuter le shellcode, qui à son tour fournit la charge utile à partir d'un emplacement distant. Cependant, dans le cas de SVCReady, les macros VBA et le shellcode sont séparés, les attaquants cachant le shellcode compromis dans les propriétés du fichier. Une fois la menace déployée sur le système, elle procédera d'abord à la collecte d'informations initiales via des requêtes de registre et des appels d'API Windows. Les données acquises seront ensuite transmises à un serveur Command-and-Control (C2, C&C). La communication entre les versions ultérieures de la menace et son serveur C2 est cryptée RC4.

Le chargeur essaiera également de déterminer s'il est exécuté dans un environnement virtualisé en effectuant deux requêtes WMI. Selon les résultats, SVCReady pourrait entrer en veille pendant 30 minutes. En ce qui concerne son mécanisme de persistance, la menace créera une tâche planifiée et une nouvelle clé de registre sur le système piraté. Cependant, la mise en œuvre de cette fonctionnalité est actuellement défectueuse et entraîne des erreurs qui empêchent le lancement du logiciel malveillant après un redémarrage. Cette fonctionnalité pourrait être corrigée dans l'une des prochaines versions, car les chercheurs de HP notent que SVCReady est toujours en cours de développement. Les acteurs de la menace peuvent demander au logiciel malveillant de prendre des captures d'écran arbitraires, d'exécuter des commandes shell, d'exécuter un fichier choisi ou de récupérer des charges utiles menaçantes supplémentaires.