Yeni bir kimlik avı kampanyası dalgasının daha önce belgelenmiş bir kötü amaçlı yazılımın yayıldığı gözlemlendi. SVC Hazır.
HP’de bir tehdit analisti olan Patrick Schläpfer, “Kötü amaçlı yazılım, Microsoft Office belgelerinin özelliklerinde gizlenmiş kabuk kodunu kullanarak hedef bilgisayarlara alışılmadık bir şekilde iletilmesiyle dikkat çekiyor,” dedi. söz konusu teknik bir yazımda.
SVCReady’nin erken geliştirme aşamasında olduğu söyleniyor ve yazarlar kötü amaçlı yazılımı geçen ay birkaç kez yinelemeli olarak güncelliyor. İlk aktivite belirtileri 22 Nisan 2022’ye kadar uzanıyor.
Bulaşma zincirleri, kötü amaçlı yüklerin dağıtımını etkinleştirmek için VBA makroları içeren e-posta yoluyla hedeflere Microsoft Word belge eklerinin gönderilmesini içerir.
Ancak bu kampanyanın farklı olduğu nokta, bir sonraki aşama yürütülebilir dosyalarını uzak bir sunucudan almak için PowerShell veya MSHTA kullanmak yerine, makronun, sunucuda depolanan kabuk kodunu çalıştırmasıdır. döküman özellikleribu da daha sonra SVCReady kötü amaçlı yazılımını düşürür.
Kötü amaçlı yazılım, programlanmış bir görev aracılığıyla virüslü ana bilgisayarda kalıcılık sağlamaya ek olarak, sistem bilgilerini toplama, ekran görüntüleri yakalama, kabuk komutlarını çalıştırma ve ayrıca isteğe bağlı dosyaları indirme ve yürütme becerisiyle birlikte gelir.
Bu aynı zamanda, bir makinenin ilk olarak SVCReady ile güvenliği ihlal edildikten sonra 26 Nisan’da bir takip yükü olarak RedLine Stealer’ın teslim edilmesini de içeriyordu.
HP, cazibe belgelerinin dosya adları ile SVCReady’yi dağıtmak için kullanılan dosyalarda ve TA551 (diğer adıyla Hive0106 veya Shathak) tarafından kullanılan dosyalarda bulunan resimler arasında örtüşmeler tespit ettiğini söyledi, ancak aynı tehdit aktörünün olup olmadığı hemen belli değil. son kampanyanın arkasında
Schläpfer, “Aynı araçları kullanan iki farklı saldırganın bıraktığı eserleri görmemiz mümkün” dedi. “Ancak bulgularımız, benzer şablonların ve potansiyel olarak belge oluşturucuların TA551 ve SVCReady kampanyalarının arkasındaki aktörler tarafından kullanıldığını gösteriyor.”