Seçilmiş Ukrayna hükümeti ağlarına 2015’ten bu yana OfflRouter adı verilen kötü amaçlı yazılım bulaşmaya devam ediyor.
Cisco Talos, bulgularının VBA makro virüsü bulaşmış ve VirusTotal kötü amaçlı yazılım tarama platformuna yüklenmiş 100’den fazla gizli belgenin analizine dayandığını söyledi.
Güvenlik araştırmacısı Vanja Svajcer, “Belgeler, ‘ctrlpanel.exe’ adında bir yürütülebilir dosyayı bırakıp çalıştırmak için VBA kodunu içeriyordu” dedi. söz konusu. “Virüs Ukrayna’da hâlâ aktif ve potansiyel olarak gizli belgelerin kamuya açık belge depolarına yüklenmesine neden oluyor.”
OfflRouter’ın çarpıcı bir yönü, e-posta yoluyla yayılmaması, bunun da virüslü belgeleri içeren USB bellek çubukları da dahil olmak üzere belgelerin ve çıkarılabilir medyanın paylaşılması gibi başka yollarla yayılmasını gerektirmesidir.
Kasıtlı olsun ya da olmasın bu tasarım tercihlerinin OfflRouter’ın Ukrayna sınırları içinde ve birkaç kuruluşa yayılmasını sınırladığı ve böylece neredeyse 10 yıl boyunca tespit edilmekten kurtulduğu söyleniyor.
Şu anda kötü amaçlı yazılımdan kimin sorumlu olduğu bilinmiyor ve bunun Ukrayna’dan biri tarafından geliştirildiğine dair hiçbir belirti yok.
Her kim olursa olsun, olağandışı yayılma mekanizması ve kaynak kodundaki çeşitli hataların varlığı nedeniyle yaratıcı ancak deneyimsiz olarak tanımlandılar.
OfflRouter daha önce vurgulanmıştı MalwareHunterTeam Mayıs 2018 gibi erken bir tarihte ve yine Slovakya Bilgisayar Güvenliği Olayına Müdahale Ekibi tarafından (CSIRT.SK) Ağustos 2021’de Ukrayna Ulusal Polisi’nin web sitesine yüklenen virüslü belgeleri ayrıntılarıyla anlatıyor.
VBA makro gömülü Microsoft Word belgelerinin “ctrlpanel.exe” adlı bir .NET yürütülebilir dosyasını bırakması ve bunun daha sonra sistemde bulunan .DOC (.DOCX değil) uzantılı tüm dosyalara ve diğer dosyalara bulaşmasıyla çalışma şekli neredeyse hiç değişmedi. aynı makroya sahip çıkarılabilir medya.
“Bulaşma, bulaşacak belge adaylarının listesi üzerinden yinelenir ve birden fazla bulaşma sürecinden kaçınmak amacıyla belge bulaşma işaretleyicisini kontrol etmek için yenilikçi bir yöntem kullanır; işlev, belge oluşturma meta verilerini kontrol eder, oluşturma zamanlarını ekler ve toplamın değerini kontrol eder ” dedi Svajcer.
“Toplam sıfırsa, belgenin zaten virüslü olduğu kabul edilir.”
Bununla birlikte, saldırı yalnızca VBA makroları etkinleştirildiğinde başarılı olur. Microsoft, Temmuz 2022 itibarıyla internetten indirilen Office belgelerindeki makroları varsayılan olarak engelliyor ve bu da tehdit aktörlerinin başka ilk erişim yolları aramasına neden oluyor.
Kötü amaçlı yazılımın bir diğer önemli işlevi, sistem başlatıldığında yürütülebilir dosyanın her zaman çalışmasını sağlayacak şekilde Windows Kayıt Defteri değişiklikleri yapmaktır.
Svajcer, “Virüs yalnızca OLE2 belgelerinin varsayılan uzantısı olan .DOC dosya adı uzantısına sahip belgeleri hedefliyor ve diğer dosya adı uzantılarına bulaşmaya çalışmayacak” dedi. “Daha yeni Word sürümleri için varsayılan Word belgesi dosya adı uzantısı .DOCX’tir, dolayısıyla sonuç olarak çok az belgeye virüs bulaşacaktır.”
Hepsi bu değil. Ctrlpanel.exe ayrıca çıkarılabilir sürücülerde bulunan potansiyel eklentileri (.ORP uzantılı) arayacak ve bunları makinede çalıştıracak şekilde donatılmıştır; bu, kötü amaçlı yazılımın eklentilerin USB sürücüler veya CD-ROM’lar aracılığıyla teslim edilmesini beklediği anlamına gelir.
Aksine, eklentiler bir ana bilgisayarda zaten mevcutsa, OfflRouter bunları kodlamakla, dosyaları .ORP dosya adı uzantısıyla ekli çıkarılabilir medyanın kök klasörüne kopyalamakla ve bunları gizli hale getirecek şekilde değiştirmekle ilgilenir. başka bir cihaza takıldığında Dosya Gezgini aracılığıyla görünmez.
Bununla birlikte, en büyük bilinmeyenlerden biri, başlangıç vektörünün bir belge mi yoksa çalıştırılabilir ctrlpanel.exe modülü mü olduğudur.
Svajcer, “İki modüllü virüsün avantajı, bağımsız bir yürütülebilir dosya veya virüslü bir belge olarak yayılabilmesidir.” dedi.
“Modül bağımsız olarak çalışabildiğinden ve kayıt defteri anahtarlarını VBA kodunun yürütülmesine ve belgelere bulaşmadan önce varsayılan kayıtlı dosya formatlarının .DOC olarak değiştirilmesine izin verecek şekilde ayarlayabildiğinden, başlangıçta yürütülebilir bir dosya olarak yayılmak bile avantajlı olabilir. Bu şekilde enfeksiyon, enfeksiyona karşı koruma sağlar.” biraz daha gizli olabilir.”