Вірус OfflRouter змушує українських користувачів відсилати конфіденційні документи

22 апреля 2024 г., 12:49

Безопасность

Фахівці Cisco Talos виявили документи з потенційно конфіденційною інформацією, що походять з України. Документи містили шкідливий код VBA, що вказує на те, що вони можуть бути використані як приманки для зараження організацій.

Результати розслідування показали, що наявність шкідливого коду пов'язана з діяльністю рідкісного багатомодульного вірусу, який доставляється через функціональність .NET interop для зараження документів Word.

Вірус під назвою OfflRouter був активний в Україні з 2015 року і продовжує діяти в мережах деяких українських організацій, про що свідчать понад 100 оригінальних заражених документів, завантажених на VirusTotal з України, та дати їхнього завантаження.

Cisco Talos оцінює OfflRouter як роботу винахідливого, але відносно недосвідченого розробника, виходячи з незвичного вибору механізму зараження, очевидної відсутності тестування та помилок у коді. Дизайнерський вибір автора, можливо, обмежив поширення вірусу дуже невеликою кількістю організацій, дозволивши йому залишатися активним і невиявленим протягом тривалого періоду часу.

В рамках регулярного полювання на загрози Cisco Talos відстежує файли, завантажені в репозиторії з відкритим вихідним кодом, на наявність потенційних приманок, які можуть бути націлені на урядові та військові організації. Приманки створюються з легітимних документів шляхом додавання вмісту, який може спровокувати зловмисну поведінку, і часто використовуються зловмисниками.

Наприклад, шкідливі документи-приманки із зовнішніми посиланнями на шаблони, написані українською мовою, використовуються групою Gamaredon як початковий вектор зараження. Раніше Talos виявили приманки на військову тематику українською та польською мовами, що імітують офіційні файли PowerPoint та Excel, для запуску так званого "завантажувача Picasso", який встановлює на комп'ютери жертв трояни віддаленого доступу (RAT).

У липні 2023 року зловмисники намагалися використати приманки, пов'язані з самітом НАТО у Вільнюсі, для встановлення троянця-шифрувальника Romcom. Це лише деякі з причин, чому полювання на документи-приманки є життєво важливим для будь-якої операції з розвідки загроз.

У лютому 2024 року Talos виявив кілька документів, завантажених на VirusTotal, із вмістом, який, схоже, походить від українських органів місцевого самоврядування та Національної поліції України. Документи містили код VBA для запуску виконуваного файлу з назвою `ctrlpanel.exe`, що викликало у нас підозру і спонукало до подальшого розслідування.

Зрештою, у Talos виявили понад 100 завантажених документів з потенційно конфіденційною інформацією про діяльність уряду та поліції в Україні. Аналіз коду показав неочікувані результати - замість приманок, які використовують просунуті зловмисники, завантажені документи були заражені багатокомпонентним макровірусом VBA OfflRouter, створеним у 2015 році.

Хоча вірус активний в Україні, немає жодних ознак того, що його створив автор з цього регіону. Навіть рядок налагоджувальної бази даних, використаний для назви вірусу "E:\Projects\OfflRouter2\OfflRouter2\obj\Release\ctrlpanel.pdb", присутній у ctrlpanel.exe, не вказує на неангломовного автора.

Вибір, зроблений під час розробки, обмежив вірус певним географічним розташуванням і дозволив йому залишатися активним протягом майже 10 років.

Згідно з попереднім дослідженням команди CSIRT уряду Словаччини, деякі заражені документи вже були у відкритому доступі на веб-сайті Національної поліції України у 2018 році.

Нещодавно виявлені заражені документи написані українською мовою, що, можливо, сприяло тому, що вірус рідко зустрічається за межами України. Оскільки шкідливе програмне забезпечення не має можливості поширюватися електронною поштою, воно може поширюватися лише через обмін документами та знімними носіями, такими як флешки із зараженими документами. Неможливість розповсюдження електронною поштою та початкові документи українською мовою є додатковими ймовірними причинами того, що вірус залишився в Україні.

Вірус націлений лише на документи з розширенням .doc, розширенням за замовчуванням для документів OLE2, і він не намагається заразити інші розширення файлів. Розширенням за замовчуванням для документів Word в останніх версіях Word є .docx, тому в результаті буде інфіковано невелику кількість документів.

Це можлива помилка автора, хоча існує невелика ймовірність того, що шкідливе програмне забезпечення було спеціально створене для кількох організацій в Україні, які все ще використовують розширення .doc.