SVCready adlı daha önce bilinmeyen bir kötü amaçlı yazılım yükleyici, kimlik avı saldırılarında, kötü amaçlı yazılımları sözcük belgelerinden uzlaşmış makinelere yüklemenin alışılmadık bir yolunu içeren keşfedilmiştir.
Daha spesifik olarak, bir e -posta eki olarak hedefe gelen bir belgenin özelliklerinde depolanan kabuk kodunu yürütmek için VBA makro kodunu kullanır.
HP tarafından yapılan yeni bir rapora göre, kötü amaçlı yazılım Nisan 2022'den bu yana konuşlandırılıyor ve geliştiriciler Mayıs 2022'de birkaç güncelleme yayınladı. Bu, şu anda hala erken bir aşamada ağır gelişme altında olduğunu gösteriyor.
Bununla birlikte, zaten bilgi eksfiltrasyonunu, kalıcılığı, anti-analiz özelliklerini ve şifrelenmiş C2 iletişimlerini zaten desteklemektedir.
Enfeksiyon zinciri, kötü niyetli bir .doc ekini taşıyan bir kimlik avı e -postasıyla başlar.
Bununla birlikte, uzak konumlardan yükleri indirmek için PowerShell veya MSHTA'yı kötü amaçlı makrolar aracılığıyla kullanmanın standart uygulamasının aksine, bu kampanya, dosya özelliklerinde Shellcode gizlemesini çalıştırmak için VBA kullanır.
Aşağıda gösterildiği gibi, bu kabuk kodu, makrolar tarafından çıkarılan ve yürütülen kelime belgesinin özelliklerinde saklanır.
Makroları kötü amaçlı kabuk kodundan bölerek, tehdit aktörleri normalde algılayabilecek güvenlik yazılımlarını atlamaya çalışır.
HP'nin raporu, "Daha sonra belge özelliklerinde bulunan kabuk kodu bir değişkene yüklenir. Sistemin mimarisinin 32 bit veya 64 bit olup olmadığına bağlı olarak farklı kabuk kodu yüklenir."
Uygun kabuk kodu, yürütülebilir erişim hakları elde etmek için Windows API işlevini "Virtual Protect" işlevini kullanacağı yerden tino belleğe yüklenir.
Ardından, Settimer API, Shellcode'un adresini geçer ve yürütür. Bu eylem, % Temp % dizinine düşen bir DLL (kötü amaçlı yazılım yükü) ile sonuçlanır.
Meşru bir Windows ikili olan "Rundll32.exe" nin bir kopyası da farklı bir ad altında aynı dizine yerleştirilir ve sonunda SVCready'yi çalıştırmak için istismar edilir.
SVCready kötü amaçlı yazılım, kayıt defteri sorguları ve Windows API çağrıları aracılığıyla sistemin profillenmesi ile başlar ve toplanan tüm bilgileri bir HTTP posta isteği aracılığıyla C2 sunucusuna gönderir.
C2 ile iletişim bir RC4 anahtarı kullanılarak şifrelenir. HP analistleri, kötü amaçlı yazılım güncellemelerinden biri sırasında bu işlevin Mayıs ayında eklendiğini yorumlar.
Kötü amaçlı yazılım ayrıca, sanallaştırılmış bir ortamda çalışıp çalışmadığını ve analizden kaçmak için 30 dakika uykuya girip girmediğini anlamak için ana bilgisayarda iki WMI sorgusu yapar.
Kalıcılık mekanizması şu anda planlanmış bir görev ve yeni bir kayıt defteri anahtarı oluşturmaya dayanmaktadır, ancak uygulamadaki hatalar nedeniyle, kötü amaçlı yazılım yeniden başlatmadan sonra başlatılmayacaktır.
İkinci bilgi toplama aşaması tüm bunlardan sonra başlar ve ekran görüntüleri içerir, "osinfo" ı çıkarır ve her şeyi C2'ye gönderir.
SVCready, durumunu bildirmek, yeni görevleri almak, çalıntı bilgileri göndermek veya etki alanını doğrulamak için her beş dakikada bir C2'ye bağlanır.
Şu anda SVCready tarafından desteklenen işlevler şunlardır:
Son olarak, kötü amaçlı yazılım ek yükler de alabilir. HP analistleri, 26 Nisan 2022'de SVCready'nin enfekte olmuş ana bilgisayarda bir Readline Stealer yükü düşürdüğü bir vakayı gözlemledi.
HP, kötü amaçlı belgelerde kullanılan CARE görüntüleri, yükü almak için kullanılan kaynak URL'leri vb.
TA551, çeşitli kötü amaçlı yazılım operatörleri ve hatta fidye yazılımı bağlı kuruluşlarıyla bağlantılıdır, bu nedenle SVCready ile ilişkisi şu anda belirsizdir ve bir dağıtım ortaklığı olabilir.
Bununla birlikte, kötü amaçlı yazılım erken bir geliştirme aşamasında göründüğünden, TA551 üzerinden test etmek olası görünmüyor, bu nedenle grubun kendi kötü amaçlı yazılımı projesi olabilir.
PDF, Microsoft Word Doc'u Snake Keylogger Kötü Yazılım
Yeni endüstriyel casus çalınan veri piyasası çatlaklar, reklam yazılımı ile teşvik edildi
Emotet kötü amaçlı yazılım artık Google Chrome kullanıcılarından kredi kartlarını çalıyor
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
Küba Ransomware, güncellenmiş şifreleyiciyle zorla kurbanlara geri döner
Kaynak: Bleeping Computer