В ходе операции по поиску угроз специалисты Cisco Talos обнаружили документы с потенциально конфиденциальной информацией, поступившие из Украины. Документы содержали вредоносный код VBA, что указывало на возможность их использования в качестве приманки для заражения организаций.
- Результаты расследования показали, что наличие вредоносного кода обусловлено активностью редкого многомодульного вируса, который поставляется через функциональность .NET interop для заражения документов Word.
- Вирус, получивший название OfflRouter, был активен в Украине с 2015 года и продолжает действовать в сетях некоторых украинских организаций, судя по более чем 100 оригинальным зараженным документам, загруженным на VirusTotal из Украины, и датам загрузки документов.
- Cisco Talos считают, что OfflRouter - дело рук изобретательного, но относительно неопытного разработчика, основываясь на необычном выборе механизма заражения, очевидном отсутствии тестирования и ошибках в коде.
- Возможно, выбранный автором дизайн ограничил распространение вируса очень небольшим количеством организаций, позволив ему оставаться активным и необнаруженным в течение длительного периода времени.
Indicators of Compromise
SHA256
- 016d90f337bd55dfcfbba8465a50e2261f0369cd448b4f020215f952a2a06bce
- 10e720fbcf797a2f40fbaa214b3402df14b7637404e5e91d7651bd13d28a69d8
- 2260989b5b723b0ccd1293e1ffcc7c0173c171963dfc03e9f6cd2649da8d0d2c
- 2b0927de637d11d957610dd9a60d11d46eaa3f15770fb474067fb86d93a41912
- 802342de0448d5c3b3aa6256e1650240ea53c77f8f762968c1abd8c967f9efd0