Как злоумышленникам удалось замаскировать свой вредонос, и какие функции он выполняет?
Некоторые правительственные сети Украины остаются заражёнными вредоносной программой под названием OfflRouter с далёкого 2015 года. Исследователи из более 100 заражённых документов, что и позволило им выявить продолжающуюся активность на территории Украины.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
«Вирус по-прежнему активен в Украине и приводит к выгрузке потенциально конфиденциальных документов в общедоступные хранилища файлов», — Ваня Свайсер, исследователь безопасности из Cisco Talos.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые команда MalwareHunterTeam, а в 2021 эксперты CSIRT.SK направили прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники. Вероятно, именно это и имели в виду специалисты Talos, говоря о несовершенном покрытии атаки.
Одной из особенностей OfflRouter является возможность делать изменения в системном реестре Windows для автоматического запуска вредоносного модуля при каждой загрузке системы. Это, вместе с внешними модулями, ожидающими на съёмных носителях, позволяет вирусу эффективно распространяться и оставаться незаметным.
Кроме того, при заражении документов вирус использует сложные методы проверки уже заражённых файлов, что исключает вероятность повторного заражения.
Стоит отметить, что в относительно свежих редакциях , распространяемых в последние годы, Microsoft начала по умолчанию блокировать запуск макросов, от чего жертва должен активировать их вручную, чтобы заразить свой компьютер.
Тем не менее, во многих организациях Украины, в том числе правительственных, до сих пор могут использоваться старые версии Microsoft Office, что может означать продолжение активности OfflRouter, пока киберэксперты не займутся данным вопросом максимально плотно.
Кроме того, злоумышленники уже давно применяют в своих атаках хитрые уловки социальной инженерии, например, отображение поддельных уведомлений о том, что содержимое файла невозможно просмотреть до включения макросов. Всё, лишь бы обойти ограничения Microsoft и успешно заразить целевой компьютер.
Ситуация с OfflRouter наглядно демонстрирует необходимость непрерывной модернизации защитных мер, более тесного сотрудничества между экспертами кибербезопасности и обновления программного обеспечения в государственных структурах для противодействия эволюционирующим угрозам.
Подробнее:
Некоторые правительственные сети Украины остаются заражёнными вредоносной программой под названием OfflRouter с далёкого 2015 года. Исследователи из более 100 заражённых документов, что и позволило им выявить продолжающуюся активность на территории Украины.
Отличительной чертой OfflRouter является его невозможность распространяться посредством электронной почты, вместо этого вирус передаётся исключительно локально, путём обмена документами на съёмных носителях, такие как USB-флешки. Такой механизм распространения ограничивает его действие одной только Украиной, хоть и значительно сокращает число поражённых организаций.
«Вирус по-прежнему активен в Украине и приводит к выгрузке потенциально конфиденциальных документов в общедоступные хранилища файлов», — Ваня Свайсер, исследователь безопасности из Cisco Talos.
В настоящее время неизвестно, кто несёт ответственность за данное вредоносное ПО. Исследователи не обнаружили никаких указаний на то, было ли оно разработано на территории Украины или кем-то извне. Но кто бы это ни был, его описывают как весьма изобретательного, хоть и неопытного из-за наличия нескольких ошибок в исходном коде и несовершенного покрытия атаки.
Вредоносное ПО OfflRouter уже несколько раз было замечено различными организациями безопасности. В 2018 году о нём впервые команда MalwareHunterTeam, а в 2021 эксперты CSIRT.SK направили прямо на веб-сайт украинских киберспециалистов.
Тем не менее, спустя три года, вредонос всё ещё успешно функционирует в правительственных сетях страны, а его вредоносный код и принцип действия с тех пор никак не менялись: VBA-макросы, вложенные в документы Microsoft Word, при запуске заражённого документа сбрасывают исполняемый .NET-файл с именем «ctrlpanel.exe», который затем заражает все файлы с расширением «.doc», найденные на компьютере и подключенных съёмных носителях, не трогая при этом документы «.docx» и любые другие файлы прочих форматов.
Весьма странно, что акцент сделан только на «.doc», ведь это существенно сокращает число потенциально полезных документов, которые могли бы выгрузить злоумышленники. Вероятно, именно это и имели в виду специалисты Talos, говоря о несовершенном покрытии атаки.
Одной из особенностей OfflRouter является возможность делать изменения в системном реестре Windows для автоматического запуска вредоносного модуля при каждой загрузке системы. Это, вместе с внешними модулями, ожидающими на съёмных носителях, позволяет вирусу эффективно распространяться и оставаться незаметным.
Кроме того, при заражении документов вирус использует сложные методы проверки уже заражённых файлов, что исключает вероятность повторного заражения.
Стоит отметить, что в относительно свежих редакциях , распространяемых в последние годы, Microsoft начала по умолчанию блокировать запуск макросов, от чего жертва должен активировать их вручную, чтобы заразить свой компьютер.
Тем не менее, во многих организациях Украины, в том числе правительственных, до сих пор могут использоваться старые версии Microsoft Office, что может означать продолжение активности OfflRouter, пока киберэксперты не займутся данным вопросом максимально плотно.
Кроме того, злоумышленники уже давно применяют в своих атаках хитрые уловки социальной инженерии, например, отображение поддельных уведомлений о том, что содержимое файла невозможно просмотреть до включения макросов. Всё, лишь бы обойти ограничения Microsoft и успешно заразить целевой компьютер.
Ситуация с OfflRouter наглядно демонстрирует необходимость непрерывной модернизации защитных мер, более тесного сотрудничества между экспертами кибербезопасности и обновления программного обеспечения в государственных структурах для противодействия эволюционирующим угрозам.
Подробнее:
