自 2015 年以来,部分乌克兰政府网络一直受到名为 OfflRouter 的恶意软件的感染。
思科 Talos 表示,其调查结果基于对 100 多个机密文档的分析,这些文档感染了 VBA 宏病毒并上传到 VirusTotal 恶意软件扫描平台。
安全研究员 Vanja Svajcer表示:“这些文件包含 VBA 代码,用于删除并运行名为‘ctrlpanel.exe’的可执行文件。” “该病毒在乌克兰仍然活跃,并导致潜在的机密文件被上传到可公开访问的文件存储库。”
OfflRouter 的一个引人注目的方面是它无法通过电子邮件传播,因此需要通过其他方式传播,例如共享文档和可移动媒体,包括包含受感染文档的 USB 记忆棒。
据说这些设计选择,无论是有意还是无意,都将 OfflRouter 的传播限制在乌克兰境内和少数组织内,从而在近 10 年内逃脱了检测。
目前尚不清楚谁是该恶意软件的负责人,也没有迹象表明它是由乌克兰人开发的。
无论是谁,由于不寻常的传播机制和源代码中存在多个错误,他们都被描述为富有创造力但缺乏经验。
OfflRouter早在 2018 年 5 月就被MalwareHunterTeam重点关注,斯洛伐克计算机安全事件响应小组 ( CSIRT.SK ) 于 2021 年 8 月再次重点关注 OfflRouter,详细介绍了上传到乌克兰国家警察网站的受感染文件。
作案手法几乎保持不变,VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件,然后该文件会感染系统和其他设备上发现的具有 .DOC(而非 .DOCX)扩展名的所有文件。具有相同宏的可移动媒体。
“感染会迭代要感染的文档候选列表,并使用创新方法检查文档感染标记,以避免多次感染过程 – 该功能检查文档创建元数据,添加创建时间,并检查总和的值,”斯瓦伊塞尔说。
“如果总和为零,则认为该文档已经被感染。”
也就是说,只有启用 VBA 宏时,攻击才会成功。截至 2022 年 7 月,微软一直在默认情况下阻止从互联网下载的 Office 文档中的宏,促使威胁行为者寻求其他初始访问途径。
该恶意软件的另一个关键功能是修改 Windows 注册表,以确保每次启动系统时可执行文件都会运行。
“该病毒仅针对文件扩展名为 .DOC(OLE2 文档的默认扩展名)的文档,并且不会尝试感染其他文件扩展名,”Svajcer 解释道。 “较新的 Word 版本的默认 Word 文档文件扩展名是 .DOCX,因此很少有文档会因此受到感染。”
那不是全部。 Ctrlpanel.exe 还能够搜索可移动驱动器上存在的潜在插件(扩展名为 .ORP)并在计算机上执行它们,这意味着恶意软件期望通过 USB 驱动器或 CD-ROM 传递插件。
相反,如果插件已经存在于主机上,OfflRouter 会负责对它们进行编码,将文件复制到附加的可移动媒体的根文件夹(文件扩展名为 .ORP),并对其进行操作以使其隐藏,以便它们将它们插入其他设备时,通过文件资源管理器不可见。
也就是说,一个主要的未知数是初始向量是文档还是可执行模块 ctrlpanel.exe。
“双模块病毒的优点是它可以作为独立的可执行文件或受感染的文档进行传播,”Svajcer 说。
“最初作为可执行文件传播可能是有利的,因为该模块可以独立运行并设置注册表项以允许执行 VBA 代码并将默认保存的文件格式更改为 .DOC,然后再感染文档。这样,感染可能有点隐蔽。”
发表评论
您还未登录,请先登录。
登录