Новое вредоносное ПО загружается из свойств документа Word

отредактировано 14 июн Раздел: Вирусы & Антивирусы
В ходе фишинговых атак был обнаружен ранее неизвестный загрузчик вредоносного ПО под названием SVCReady, отличающийся необычным способом загрузки вредоносного ПО из документов Word на скомпрометированные машины.

В частности, он использует макрокод VBA для выполнения шелл-кода, хранящегося в свойствах документа, который поступает к цели в виде вложения электронной почты.

Согласно новому отчету HP, вредоносное ПО находится в стадии развертывания с апреля 2022 года, а разработчики выпустили несколько обновлений в мае 2022 года. Это указывает на то, что в настоящее время оно находится в активной разработке и, вероятно, все еще находится на ранней стадии.

Однако он уже поддерживает эксфильтрацию информации, сохранение, функции антианализа и зашифрованные коммуникации C2.

SVCReady начинается с электронного письма

Цепочка заражения начинается с фишингового письма с вредоносным вложением .doc.

Однако, в отличие от стандартной практики использования PowerShell или MSHTA через вредоносные макросы для загрузки полезной нагрузки из удаленных мест, эта кампания использует VBA для запуска шелл-кода, скрывающегося в свойствах файла.

Как показано ниже, этот шелл-код хранится в свойствах документа Word, который извлекается и выполняется макросами.

properties.png

Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.

«Затем в переменную загружается шелл-код, который находится в свойствах документа. В зависимости от того, является ли архитектура системы 32-битной или 64-битной, загружается другой шелл-код», — поясняется в отчете HP.

Соответствующий шелл-код загружается в память tino, откуда он будет использовать функцию Windows API «Виртуальная защита» для получения прав доступа к исполняемому файлу.

Далее API SetTimer передает адрес шелл-кода и выполняет его. Это действие приводит к тому, что DLL (вредоносная полезная нагрузка) попадает в каталог %TEMP%.

Копия «rundll32.exe», законного двоичного файла Windows, также помещается в тот же каталог под другим именем и в конечном итоге используется для запуска SVCReady.

Новый загрузчик вредоносных программ SVCReady

Вредоносная программа SVCReady начинает с профилирования системы с помощью запросов к реестру и вызовов Windows API и отправляет всю собранную информацию на сервер C2 с помощью HTTP-запроса POST.

Связь с C2 шифруется с помощью ключа RC4. Аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.

Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде, и переходит в спящий режим на 30 минут, если это так, чтобы избежать анализа.

В настоящее время механизм сохраняемости основан на создании запланированной задачи и нового ключа реестра, но из-за ошибок в реализации вредоносная программа не запустится после перезагрузки.

После всего этого начинается второй этап сбора информации, который включает в себя скриншоты, извлечение «osinfo» и отправку всего на C2.

SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.

В настоящее время SVCReady поддерживает следующие функции:

Загрузить файл в зараженный клиент
Сделать снимок экрана
Запустить команду оболочки
Проверьте, работает ли он на виртуальной машине
Сбор системной информации (короткая и «обычная» версия)
Проверьте состояние USB, т. е. количество подключенных устройств.
Установите постоянство с помощью запланированной задачи
Запустить файл
Запустите файл с помощью RunPeNative в памяти

Наконец, вредоносное ПО также может получать дополнительные полезные нагрузки. Аналитики HP наблюдали один случай 26 апреля 2022 г., когда SVCReady сбросил полезную нагрузку Readline Stealer на зараженный хост.

Ссылки на ТА551

HP сообщает, что видит ссылки на прошлые кампании TA551 (Shatak), такие как изображения-приманки, используемые во вредоносных документах, URL-адреса ресурсов, используемые для получения полезной нагрузки и т. д. Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.

TA551 был связан с различными операторами вредоносных программ и даже с филиалами программ-вымогателей, поэтому связь с SVCReady в настоящее время неясна и может быть партнерством по распространению.

Однако, поскольку вредоносное ПО, похоже, находится на ранней стадии разработки, его тестирование с помощью TA551 кажется маловероятным, поэтому это может быть собственный проект вредоносного ПО группы.

https://www.bleepingcomputer.com/news/security/new-svcready-malware-loads-from-word-doc-properties/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.