SVCReady マルウェア検出: フィッシングで大量配布される新しいローダー

SVCReadyに出会いましょう、新しい悪意のあるローダーが登場！この新種は、2022年4月以降、フィッシングキャンペーンを通じて大規模に配布され、珍しい感染ルーチンを利用しています。専門家によると、SVCReadyはMicrosoft Office文書のプロパティに隠されたシェルコードに依存しており、セキュリティソリューションの監視を逃れています。マルウェアは現在活発に開発されており、これまでに観察された頻繁な機能更新と共に、近いうちにさらなる洗練されたトリックと機能が追加され、その能力が強化される可能性があります。

SVCReadyマルウェアを検出する

当社の経験豊富なThreat Bounty開発者による専用のSigmaルールで、新しいSVCReadyローダーに関連する悪意のある活動を発見します カーン・イェニヨル。あなたの脅威検出スキルを貨幣化したいですか？私たちの 脅威報酬プログラムに参加して、SOC PrimeプラットフォームにあなたのSigmaルールを公開し、協力的なサイバー防御に貢献しながら定期的な報酬を受け取りましょう。

以下のルールは、関連するタスクスケジューリングを特定することで、疑わしいSVCReadyの持続性を検出します。

疑わしいSVCReadyマルウェア（2022年6月）関連するタスクスケジューリングによる持続性の検出（セキュリティ経由）

この検出は18のSIEM、EDR & XDRフォーマットと互換性があり、 MITRE ATT&CK®フレームワークv.10に対応し、主な技術としてタスク/ジョブのスケジューリング（T1053）による実行の戦術を扱います。

最新のサイバー脅威を検出するための Sigmaルール の全コレクションにアクセスするには、以下の 検出＆ハント ボタンをクリックしてください。脅威ハンティングのアイデアや検出エンジニアリングのガイダンス、最新のサイバー脅威インテリジェンスへのリンクを含む追加の脅威コンテキストを探索するには、 脅威コンテキストを探索ボタン をクリックして、SOC Primeのサイバー脅威検索エンジンに即座に移動してください。

検出＆ハント 脅威コンテキストを探索

SVCReady分析

HPの脅威リサーチチームによる 調査によると、SVCReadyは2022年4月に登場した以前には文書されていないマルウェアファミリーです。それ以来、新しいローダーはフィッシングキャンペーンを通じて大規模に配布されています。 感染チェーンは典型的に、悪意のあるMicrosoft Word文書を添付したフィッシングメールから始まります。しかし、悪意のあるマクロを使用してPowerShellやMSHTAを利用する従来の方法ではなく、SVCReadyの管理者は.docファイルのプロパティに挿入されたシェルコードを実行するためにVBAを利用しています。シェルコードが抽出され、マクロで実行されると、メモリにロードされ、“Virtual Protect” Windows API機能を使用して実行可能なアクセス権を取得します。次の段階では、SetTimer APIがシェルコードを実行し、結果として対象のインスタンスにマルウェアペイロードが投下されます。

The infection chain typically starts with a phishing email carring a malicious Microsoft Word documents attached. Yet, instad of of the traditional practice of leveraging PowerShell of MSHTA via malicious macro, the SVCReady maintainers rely on VBA to run shellcode inserted into the .doc file properties. Once shellcode is extracted and executed with macro, it is loaded into the memory to use the “Virtual Protect” Windows API functionality and obtain executable access rights. At the next stage, the SetTimer API executes the shellcode which ends up in a malware payload being dropped to the targeted instance. 

感染後、SVCReadyローダーは、侵害されたクライアントにファイルをダウンロードし、スクリーンショットを撮り、シェルコマンドを実行し、タスクスケジュールを介して持続性を確立し、ファイルを実行し、追加のペイロードを感染した環境に配信するなど、多くの悪意ある行動を実行することができます。HPの研究者は、2022年4月にSVCReadyによって投下された複数の RedLineスティーラー のケースを特定しました。

TA551 (Shatak) コレクティブ は、HPの専門家が戦術の大きな重複を観察しているため、SVCReadyキャンペーンを運営していると疑われています。具体的には、SVCReadyに使用される画像ルアー、リソースURL、その他の詳細が過去に観察されたTA551のルーチンと関連しています。しかし、キャンペーンの正確な帰属は現在不明です。

協力的サイバー防御の力に触れ、世界で最も先進的な コードとしての検出プラットフォーム の利点を享受し、25以上のSIEM、EDR & XDRソリューションで利用可能な190K以上のキュレートされた検出アルゴリズムにアクセスできます。