Rilevamento di Malware SVCReady: Un Nuovo Loader Massivamente Distribuito tramite Phishing
Indice:
Incontra SVCReady, un nuovo caricatore malevolo nell’arena! La nuova variante è ampiamente distribuita tramite campagne di phishing da aprile 2022, sfruttando una routine di infezione insolita. Secondo gli esperti, SVCReady si basa su shellcode nascosto all’interno delle proprietà del documento Microsoft Office, permettendogli di sfuggire al radar delle soluzioni di sicurezza. Poiché il malware è attualmente in fase di sviluppo attivo, con frequenti aggiornamenti delle funzionalità osservati finora, potrebbero presto essere aggiunti trucchi e caratteristiche sofisticate per rafforzare le sue capacità .
Rilevare il Malware SVCReady
Individua l’attività malevola legata al nuovo caricatore SVCReady con una regola Sigma dedicata dal nostro esperto sviluppatore di Threat Bounty Kaan Yeniyol. Desideri monetizzare le tue competenze di rilevamento delle minacce? Unisciti al nostro Programma Threat Bounty, pubblica le tue regole Sigma sulla piattaforma SOC Prime, e ricevi ricompense ricorrenti contribuendo alla difesa informatica collaborativa.
La regola qui sotto rileva la sospetta persistenza di SVCReady identificando l’attività programmata associata.
La rilevazione è compatibile con 18 formati SIEM, EDR e XDR ed è allineata con il framework MITRE ATT&CK®v.10, affrontando la tattica di Esecuzione tramite Attività /Job Programmato (T1053) come tecnica principale.
Per raggiungere l’intera collezione di regole Sigma per rilevare le ultime minacce informatiche, premi il pulsante Rileva & Caccia qui sotto. Per esplorare il contesto della minaccia aggiuntivo, comprese idee per la Threat Hunting, linee guida per l’Ingegneria della Rilevazione e link alle ultime informazioni di Cyber Threat Intelligence, fai clic su Pulsante Esplora Contesto della Minaccia e accedi immediatamente al motore di ricerca di SOC Prime per le minacce informatiche.
Rileva & Caccia Esplora Contesto della Minaccia
Analisi di SVCReady
Secondo l’ indagine del team di ricerca delle minacce di HP, SVCReady è una famiglia di malware precedentemente non documentata emersa nell’aprile 2022. Da allora, il nuovo caricatore è stato distribuito massicciamente tramite campagne di phishing.
La catena di infezione tipicamente inizia con una email di phishing contenente un documento Microsoft Word malevolo allegato. Tuttavia, invece della pratica tradizionale di sfruttare PowerShell o MSHTA tramite macro malevola, i gestori di SVCReady si affidano a VBA per eseguire shellcode inserito nelle proprietà del file .doc. Una volta che il shellcode è estratto ed eseguito con macro, viene caricato in memoria per utilizzare la funzionalità API di Windows ‘Virtual Protect’ e ottenere diritti di accesso eseguibili. Nella fase successiva, l’API SetTimer esegue il shellcode che finisce in un carico utile di malware rilasciato nell’istanza mirata.
Una volta infettato, il caricatore SVCReady è in grado di eseguire una lunga lista di azioni malevole, inclusi il download di file nel client compromesso, la cattura di screenshot, l’esecuzione di comandi shell, la creazione di persistenza attraverso un’attività programmata, l’esecuzione di file e la consegna di carichi utili aggiuntivi nell’ambiente infetto. I ricercatori HP hanno identificato diversi casi di RedLine stealer rilasciato da SVCReady nell’aprile 2022.
Collettivo TA551 (Shatak) è sospettato di gestire le campagne SVCReady poiché gli esperti HP hanno osservato una significativa sovrapposizione nelle tattiche. In particolare, la ricerca indica le esche delle immagini, gli URL delle risorse e altri dettagli usati da SVCReady e associati a routine TA551 osservate in passato. Tuttavia, l’attribuzione esatta delle campagne è attualmente poco chiara.
Sfrutta il potere della difesa informatica collaborativa e beneficia della piattaforma di Detection as Code più avanzata al mondo, incluso l’accesso a oltre 190K algoritmi di rilevamento curati disponibili per più di 25 soluzioni SIEM, EDR e XDR.
