یک بارکننده بدافزار ناشناخته قبلی به نام SVCReady در حملات فیشینگ کشف شده است که دارای روشی غیرعادی برای بارگذاری بدافزار از اسناد Word بر روی ماشینهای در معرض خطر است.
به طور خاص، از کد ماکرو VBA برای اجرای کد پوسته ذخیره شده در ویژگی های سندی که به عنوان پیوست ایمیل به هدف می رسد، استفاده می کند.
طبق گزارش جدید HP، این بدافزار از آوریل 2022 در دست استقرار بوده است و توسعه دهندگان چندین به روز رسانی را در ماه مه 2022 منتشر کردند. این نشان می دهد که در حال حاضر تحت توسعه شدید قرار دارد و احتمالا هنوز در مراحل اولیه است.
با این حال، در حال حاضر از استخراج اطلاعات، تداوم، ویژگی های ضد تجزیه و تحلیل و ارتباطات رمزگذاری شده C2 پشتیبانی می کند.
SVCReady با یک ایمیل شروع می شود
زنجیره عفونت با یک ایمیل فیشینگ حاوی یک پیوست مخرب .doc آغاز می شود.
با این حال، برخلاف روش استاندارد استفاده از PowerShell یا MSHTA از طریق ماکروهای مخرب برای بارگیری بارگذاریها از مکانهای راه دور، این کمپین از VBA برای اجرای کد پوسته پنهان در ویژگیهای فایل استفاده میکند.
همانطور که در زیر نشان داده شده است، این پوسته کد در ویژگی های سند Word ذخیره می شود که توسط ماکروها استخراج و اجرا می شود.
با جدا کردن ماکروها از کد پوسته مخرب، عوامل تهدید سعی می کنند نرم افزار امنیتی را که معمولاً آن را شناسایی می کند دور بزنند.
گزارش HP توضیح میدهد: “بعد، کد پوسته، که در ویژگیهای سند قرار دارد، در یک متغیر بارگذاری میشود. بسته به اینکه معماری سیستم 32 بیتی یا 64 بیتی باشد، کد پوسته متفاوتی بارگذاری میشود.”
کد پوسته مناسب حافظه tino بارگذاری میشود که از آنجا از عملکرد Windows API “Virtual Protect” برای به دست آوردن حقوق دسترسی اجرایی استفاده میکند.
در مرحله بعد، SetTimer API آدرس پوسته کد را ارسال می کند و آن را اجرا می کند. این عمل منجر به افتادن DLL (بار بدافزار) در پوشه %TEMP% می شود.
یک کپی از “rundll32.exe”، یک باینری قانونی ویندوز، نیز با نام دیگری در همان فهرست قرار می گیرد و در نهایت برای اجرای SVCReady مورد سوء استفاده قرار می گیرد.
بارکننده جدید بدافزار SVCReady
بدافزار SVCReady با پروفایل کردن سیستم از طریق پرس و جوهای رجیستری و فراخوانی های Windows API شروع می شود و تمام اطلاعات جمع آوری شده را از طریق یک درخواست HTTP POST به سرور C2 ارسال می کند.
ارتباط با C2 با استفاده از یک کلید RC4 رمزگذاری می شود. تحلیلگران HP اظهار می کنند که این عملکرد در ماه مه در یکی از به روز رسانی های بدافزار اضافه شده است.
این بدافزار همچنین دو پرس و جوی WMI از میزبان انجام می دهد تا بفهمد که آیا در یک محیط مجازی اجرا می شود یا خیر و اگر برای فرار از تجزیه و تحلیل انجام شود، به مدت 30 دقیقه به خواب می رود.
مکانیسم تداوم در حال حاضر بر ایجاد یک کار برنامه ریزی شده و یک کلید رجیستری جدید متکی است، اما به دلیل خطاهایی در پیاده سازی، بدافزار پس از راه اندازی مجدد راه اندازی نمی شود.
مرحله دوم جمع آوری اطلاعات بعد از همه اینها شروع می شود و شامل اسکرین شات ها، استخراج “osinfo” و ارسال همه چیز به C2 می شود.
SVCReady هر پنج دقیقه به C2 متصل می شود تا وضعیت آن را گزارش کند، وظایف جدید را دریافت کند، اطلاعات سرقت شده را ارسال کند یا دامنه را تأیید کند.
توابع پشتیبانی شده توسط SVCReady در این زمان به شرح زیر است:
• یک فایل را برای مشتری آلوده دانلود کنید
• اسکرین شات بگیرید
• یک فرمان پوسته را اجرا کنید
• بررسی کنید که آیا در ماشین مجازی اجرا می شود یا خیر
• جمع آوری اطلاعات سیستم (یک نسخه کوتاه و “عادی”)
• وضعیت USB، به عنوان مثال، تعداد دستگاههای متصل را بررسی کنید
• پایداری را از طریق یک کار برنامه ریزی شده ایجاد کنید
• یک فایل را اجرا کنید
• یک فایل را با استفاده از RunPeNative در حافظه اجرا کنید
در نهایت، بدافزار میتواند بارهای اضافی را نیز دریافت کند. تحلیلگران HP یک مورد را در 26 آوریل 2022 مشاهده کردند که در آن SVCReady یک محموله دزد Readline را روی میزبان آلوده رها کرد.
پیوندهایی به TA551
HP گزارش می دهد که پیوندهایی به کمپین های گذشته TA551 (Shatak) مانند تصاویر فریب مورد استفاده در اسناد مخرب، آدرس های اینترنتی منابع مورد استفاده برای واکشی بار و غیره مشاهده می کند. قبلاً، باند فیشینگ از این دامنه ها برای میزبانی بارهای Ursnif و IcedID استفاده می کرد.
TA551 به اپراتورهای مختلف بدافزار و حتی وابستههای باجافزار مرتبط شده است، بنابراین ارتباط با SVCReady در حال حاضر نامشخص است و میتواند یک مشارکت توزیع باشد.
با این حال، از آنجایی که به نظر می رسد بدافزار در مرحله توسعه اولیه است، آزمایش آن از طریق TA551 بعید به نظر می رسد، بنابراین ممکن است پروژه بدافزار خود گروه باشد.
www.bleepingcomputer.com