SVCReady Malware-Erkennung: Ein neuer Loader, massiv über Phishing verbreitet

[post-views]
Juni 09, 2022 · 3 min zu lesen
SVCReady Malware-Erkennung: Ein neuer Loader, massiv über Phishing verbreitet

Lernen Sie SVCReady kennen, einen neuen bösartigen Loader auf dem Markt! Der neue Stamm wird seit April 2022 über Phishing-Kampagnen stark verbreitet und nutzt eine ungewöhnliche Infektionsroutine. Laut Experten verlässt sich SVCReady auf Shellcode, der in den Eigenschaften des Microsoft Office-Dokuments versteckt ist, was es ihm ermöglicht, den Sicherheitslösungen zu entgehen. Da die Malware derzeit aktiv entwickelt wird und bisher häufige Funktionsupdates beobachtet wurden, könnten bald zusätzliche ausgeklügelte Tricks und Funktionen hinzugefügt werden, um ihre Fähigkeiten zu stärken.

SVCReady-Malware erkennen

Erkennen Sie die bösartige Aktivität im Zusammenhang mit dem neuen SVCReady-Loader mit einer dedizierten Sigma-Regel von unserem erfahrenen Threat Bounty-Entwickler Kaan Yeniyol. Möchten Sie Ihre Bedrohungserkennungsfähigkeiten monetarisieren? Treten Sie unserem Threat Bounty Programmbei, lassen Sie Ihre Sigma-Regeln auf der SOC Prime-Plattform veröffentlichen und erhalten Sie regelmäßige Belohnungen, während Sie zur kollaborativen Cyber-Verteidigung beitragen.

Die Regel unten erkennt verdächtige SVCReady-Persistenz durch Identifizierung der zugehörigen geplanten Aufgabe.

Verdächtige SVCReady-Malware (Juni 2022) Persistenz durch Erkennung der zugehörigen geplanten Aufgabe (via Sicherheit)

Die Erkennung ist mit 18 SIEM-, EDR- und XDR-Formaten kompatibel und ausgerichtet auf das MITRE ATT&CK®-Rahmenwerkv.10, das die Ausführungstaktik mit geplanter Aufgabe/Job (T1053) als Haupttechnik adressiert.

Um die gesamte Sammlung von Sigma-Regeln zur Erkennung der neuesten Cyber-Bedrohungen zu erreichen, klicken Sie auf die Erkennen & Jagen -Taste unten. Um den zusätzlichen Bedrohungskontext zu erkunden, einschließlich Ideen für das Threat Hunting, Anleitung zur Detection Engineering und Links zur neuesten Cyber-Bedrohungsaufklärung, klicken Sie auf Bedrohungskontext-Entdecken-Schaltfläche und gehen Sie sofort zur Suchmaschine für Cyber-Bedrohungen von SOC Prime über.

Erkennen & Jagen Bedrohungskontext erkunden

SVCReady-Analyse

Laut der Untersuchung von HPs Bedrohungsforschungsteam ist SVCReady eine zuvor undokumentierte Malware-Familie, die im April 2022 aufgetaucht ist. Seitdem wird der neue Loader massiv über Phishing-Kampagnen verbreitet.

Die Infektionskette beginnt typischerweise mit einer Phishing-E-Mail, die ein bösartiges Microsoft Word-Dokument als Anhang enthält. Doch anstatt der traditionellen Praxis, PowerShell oder MSHTA über bösartige Makros zu nutzen, verlassen sich die Betreiber von SVCReady auf VBA, um Shellcode auszuführen, der in die .doc-Dateieigenschaften eingefügt ist. Sobald der Shellcode extrahiert und mit Makro ausgeführt wird, wird es in den Speicher geladen, um die Funktionalität der Windows-API „Virtual Protect“ zu nutzen und ausführbare Zugriffsrechte zu erhalten. Im nächsten Schritt führt die SetTimer-API den Shellcode aus, was in einer Malware-Nutzlast endet, die auf die Zielinstanz abgeworfen wird.

Nach der Infektion ist der SVCReady-Loader in der Lage, eine lange Liste bösartiger Aktionen auszuführen, darunter das Herunterladen von Dateien auf den kompromittierten Client, das Aufnehmen von Screenshots, das Ausführen von Shell-Befehlen, das Herstellen von Persistenz durch eine geplante Aufgabe, das Ausführen von Dateien und das Liefern zusätzlicher Nutzlasten an die infizierte Umgebung. HP-Forscher identifizierten mehrere Fälle von RedLine stealer , die von SVCReady im April 2022 abgeworfen wurden.

TA551 (Shatak) Kollektiv wird verdächtigt, die SVCReady-Kampagnen zu betreiben, da HP-Experten eine große Überschneidung in den Taktiken beobachten. Insbesondere weist die Forschung auf die Bildköder, Ressourcen-URLs und weitere Details hin, die von SVCReady verwendet werden und mit TA551-Routinen aus der Vergangenheit in Verbindung stehen. Die genaue Zuordnung der Kampagnen ist derzeit jedoch unklar.

Nutzen Sie die Kraft der kollaborativen Cyber-Verteidigung und profitieren Sie von der weltweit fortschrittlichsten Detection as Code-Plattform , einschließlich des Zugriffs auf über 190K kuratierte Erkennungsalgorithmen, die für mehr als 25 SIEM-, EDR- und XDR-Lösungen verfügbar sind.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko