Изучая фишинговые атаки, исследователи HP обнаружили ранее неизвестный загрузчик малвари SVCReady, который отличает необычный способ загрузки вредоносного ПО на скомпрометированные машины — посредством документов Word. Эксперты пишут, что SVCReady использует VBA-макросы для выполнения шелл-кода, хранящегося в свойствах документа, а сами документы жертвы как правило получают в качестве вложений в письмах.

Судя по всему, в настоящее время малварь находится в разработке, так как впервые она была замечена в апреле 2022 года, а в мае автор вредоноса выпустил сразу несколько обновлений.

Цепочка заражения начинается с получения жертвой фишингового письма с вредоносным вложением .doc. Однако в этом случае, вместо использования PowerShell или MSHTA (через вредоносные макросы) для загрузки пейлоада, для запуска шелл-кода, скрывающегося в свойствах файла, применяется VBA.

Исследователи отмечают, что, разделив макросы и вредоносный шелл-код, злоумышленники пытаются обойти защитные решения, которые обычно способны обнаружить такие атаки.

Свою активность в системе SVCReady начинает с составления профиля системы с помощью запросов к реестру и вызовов Windows API, а затем отправляет собранную информацию на управляющий сервер (с помощью POST-запроса). Связь с C&C шифруется с помощью ключа RC4, и эта функция была добавлена ​​в мае, во время одного из недавних обновлений малвари.

Также SVCReady делает два запроса WMI на хосте, чтобы выяснить, не запущен ли он на виртуальной машине. Если ответ положительный, вредонос переходит в спящий режим на 30 минут, чтобы избежать анализа.

Кроме того, автор SVCReady попытался реализовать механизм закрепления в системе (посредством создания запланированной задачи и нового ключа реестра), однако пока малварь не запускается после перезагрузки из-за ошибок в коде.

Когда предварительные стадии атаки пройдены, начинается сбор информации, включая создание скриншотов, извлечение osinfo и отправку собранных данных на управляющий сервер. SVCReady подключается к C&C-серверу каждые пять минут, чтобы сообщить о своем статусе, получить новые задания, передать украденную информацию или проверить домен.

В настоящее время SVCReady поддерживает следующие функции:

  • загрузить файл в зараженный клиент;
  • сделать скриншот;
  • запустить шелл-команду;
  • проверить, не на виртуальной ли машине он работает;
  • собрать системную информации (быстрый или «обычный» сбор данных);
  • проверить состояние USB, то есть узнать количество подключенных устройств;
  • закрепиться в системе с помощью запланированной задачи;
  • запустить файл;
  • запустить файл с помощью RunPeNative в памяти.

Кроме того, SVCReady  способен получать дополнительные полезные нагрузки. К примеру, аналитики HP наблюдали, как 26 апреля 2022 года SVCReady развернул на зараженном хосте пейлоад малвари Readline Stealer.

Специалисты HP сообщают, что SVCReady имеет сходство с прошлыми кампаниями хак-группы TA551 (она же Hive0106 или Shatak). В том числе: изображения-приманки, используемые во вредоносных документах, URL-адреса ресурсов для получения полезной нагрузки и так далее. Ранее эта фишинговая группировка использовала те же домены для размещения полезных нагрузок Ursnif и IcedID.

«Возможно, это лишь артефакты, оставленные разными злоумышленниками, использующими одни и те же инструменты, — пишут эксперты. — Однако наши исследования показывают, что аналогичные шаблоны и, вероятно, конструкторы документов применяются операторами кампаний TA551 и SVCReady».

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии