SVCReady

サイバー犯罪者は、フィッシング攻撃を介して配信された、これまで知られていなかったマルウェアローダーを使用しています。脅威とそれに関連する攻撃キャンペーンの詳細は、HPのレポートで公開されました。研究者の調査結果によると、SCVReadyとして追跡された脅威は、被害者のデバイスにロードされたときに異常な手法を使用します。脅威を特定のAPTグループに限定的に帰することはできませんが、攻撃キャンペーンとTA551（Shatack）グループによって実行された以前の脅威操作との間には一定の関連性があることに注意してください。

SVCReadyは、ルアーメールに添付された汚染されたWordファイル内に配布されます。破損したファイルは引き続きVBAマクロを使用してシェルコードを実行し、シェルコードはリモートの場所からペイロードを配信します。ただし、SVCReadyの場合、VBAマクロとシェルコードは分割されており、攻撃者はファイルのプロパティ内に侵害されたシェルコードを隠しています。脅威がシステムに展開されると、最初にレジストリクエリとWindowsAPI呼び出しを介して初期情報収集が実行されます。取得したデータは、コマンドアンドコントロール（C2、C＆C）サーバーに送信されます。脅威の新しいバージョンとそのC2サーバー間の通信は、RC4で暗号化されています。

ローダーは、2つのWMIクエリを実行することにより、仮想化環境内で実行されているかどうかも確認しようとします。結果に応じて、SVCReadyは30分のスリープに入る可能性があります。その永続性メカニズムに関しては、脅威は、侵害されたシステム上にスケジュールされたタスクと新しいレジストリキーを作成します。ただし、この機能の実装には現在欠陥があり、再起動後にマルウェアを起動できないエラーが発生します。 HPの研究者は、SVCReadyがまだ活発に開発中であると指摘しているため、この機能は次のバージョンの1つで修正される可能性があります。攻撃者はマルウェアに、任意のスクリーンショットを撮ったり、シェルコマンドを実行したり、選択したファイルを実行したり、追加の脅威のペイロードをフェッチしたりするように指示できます。