Исследователи Cisco Talos проанализировали более 100 зараженных документов, что позволило им выявить продолжающуюся вирусную активность в Украине с 2015 года. Разработчик вируса отнесен к новичкам, поскольку пренебрег тестированием своего кода.

Найдите первоисточник

В рамках своих регулярных усилий по поиску угроз Cisco Talos отслеживает файлы, загруженные в репозитории с открытым исходным кодом, на предмет потенциальных ловушек, которые могут быть нацелены на правительственные и военные организации. Обманные документы создаются из законных документов путем добавления контента, который вызывает вредоносное поведение и часто используется злоумышленниками.

Например, группа Gamaredon использует вредоносную приманку для документов, содержащих внешние ссылки на модели, написанные на украинском языке, в качестве первичного вектора заражения. Cisco Talos ранее обнаружила «приманки» военной тематики на украинском и польском языках, которые имитируют официальные файлы PowerPoint и Excel для запуска Picasso Downloader, который устанавливает троянов удаленного доступа (RAT) в системы жертв.

В июле 2023 года злоумышленники попытались использовать приманки, связанные с саммитом НАТО в Вильнюсе, для установки трояна удаленного доступа Romcom. Это лишь некоторые из причин, по которым поиск документов-приманок жизненно важен для любой операции по разведке угроз.

Украинские правительственные сети остаются зараженными вредоносным ПО с 2015 года

В результате эксперты обнаружили более 100 загруженных документов, содержащих потенциально конфиденциальную информацию о деятельности правительства и полиции в Украине. Анализ кода показал неожиданные результаты: вместо приманки, используемой продвинутыми злоумышленниками, загруженные документы были заражены многокомпонентным макровирусом VBA OfflRouter, созданным в 2015 году. Этот вирус до сих пор активен в Украине и приводит к загрузке потенциально вредоносные файлы. конфиденциальные документы в общедоступных хранилищах документов.

ЧИТАТЬ   Россиянам разрешат получить компенсацию за утечку данных с помощью «Госуслуг»

Атрибуция

Хотя вирус активен в Украине, нет никаких указаний на то, что он был создан автором из этого региона. Даже строка базы данных отладки, используемая для названия вируса «E:\Projects\OfflRouter2\OfflRouter2\obj\Release\ctrlpanel.pdb», присутствующая в файле ctrlpanel.exe, не указывает на неанглоязычного автора.

На основании выбора механизма заражения, генерации кода VBA, нескольких ошибок в коде и очевидного отсутствия тестирования исследователи Cisco Talos полагают, что автор — неопытный, но находчивый программист. Результаты расследования показали, что наличие вредоносного кода связано с активностью редкого многомодульного вируса, передающегося через функцию взаимодействия .NET для заражения документов Word.

Выбор, сделанный при разработке вируса, ограничил действие вредоносного ПО определенной географической территорией и позволил ему оставаться активным на территории Украины почти 10 лет.

Действия с местоположением

Согласно исследованию, проведенному ранее группой реагирования на инциденты компьютерной безопасности правительства Словакии (CSIRT), некоторые зараженные документы уже были общедоступны на сайте Национальной полиции Украины в 2018 году.

Вновь обнаруженные зараженные документы написаны на украинском языке, что способствует тому, что вирус редко выявляется за пределами Украины. Вредоносное ПО нельзя распространять по электронной почте. Вирус может распространяться только при обмене документами и съемными носителями, например USB-накопителями, содержащими зараженные документы. Специалисты по кибербезопасности Cisco Talos назвали эти факторы дополнительными вероятными причинами того, что вирус остался только в Украине.

Принцип работы

Вирус нацелен только на документы с расширением имени .doc, стандартным расширением для документов OLE2, и не пытается заразить другие расширения имени. Расширение имени документа Word по умолчанию для последних версий — .docx, поэтому мало документов будут заражены. Это возможная ошибка автора, хотя есть небольшая вероятность, что вредоносное ПО было создано специально для нескольких организаций в Украине, которые до сих пор используют расширение .doc, хотя содержащиеся в нем документы структурированы в Office Open XML.

ЧИТАТЬ   Русская звезда ставит на уши весь мир — у нее уже два «шлема» подряд! Начни болеть за Корнееву прямо сейчас

Выбор расширений имен файлов документов ограничен .doc.

Разработчик российской операционной системы подвёл итоги года

Бизнес

6m4a0164

Более успешному распространению вируса помешали другие проблемы, большая часть которых находится в исполняемом модуле ctrlpanel.exe, заброшенном и исполняемом фрагментом кода VBA. После запуска вирус пытается установить значение Ctrlpanel для ключа реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run, чтобы он запускался при запуске операционной системы Windows. Значением является внутренняя глобальная строка _RootDir, но эта строка содержит только папку, в которой находится файл ctrlpanel.exe, а не ее полный путь, что приводит к сбою автозапуска.

Часть VBA создает и запускает исполняемый файл вируса.

Компьютерные вирусы

Компьютерные вирусы — это распространенные программы, которые вместо предоставления полезных ресурсов могут повредить ваше устройство. Компьютерные вирусы обычно создаются хакерами для различных целей, например, для кражи конфиденциальных данных или создания хаоса в системах. Некоторые разработчики создают это вредоносное ПО для развлечения или развлечения, в то время как другие преследуют более зловещие цели, такие как финансовая выгода или кибервойна.

Хакеры могут использовать слабые места в операционной системе или приложении для получения несанкционированного доступа и контроля над компьютером пользователя для достижения своих целей. Некоторые вирусописатели стремятся завоевать известность в хакерском сообществе, создавая разрушительные или широко распространенные вирусы, привлекающие внимание средств массовой информации. Хакеры часто используют вредоносное ПО в качестве инструментов для атак с целью получения выкупа, кражи личных данных и других видов онлайн-мошенничества.

Антон Денисенко

Source

От admin