TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

OfflRouter virus causes Ukrainian users to upload confidential documents to VirusTotal

【訳】

OfflRouterウイルス、ウクライナのユーザーに機密文書をVirusTotalにアップロードさせる


【図表】


最近、文書の1つがウクライナからVirusTotalにアップロードされた。

文書ファイル名の拡張子は.docに限定されている。

VBA部分はウイルスの実行可能モジュールを作成し、実行します。

感染したWord文書は、他の文書に感染する.NETコンポーネントをドロップする。
出典: https://blog.talosintelligence.com/offlrouter-virus-causes-upload-confidential-documents-to-virustotal/


【要約】

ウクライナからの機密情報が含まれる可能性のある文書が発見され、悪意のあるVBAコードを含んでいることが明らかになりました。この文書は、Word文書を感染させるために.NETのインターオプ機能を利用する珍しいマルチモジュールウイルスによって配信されます。OfflRouterと呼ばれるこのウイルスは、ウクライナで2015年から活動しており、数多くの感染文書がVirusTotalにアップロードされています。このウイルスは独創的ながらも経験の浅い開発者によって作成され、特定の地域に拡散し、検出を回避しつつ長期間活動します。このウイルスはドキュメントルアーを使用して感染し、拡散され、Word文書にのみ感染します。また、VBAコードを使用して実行モジュールをドロップし、実行します。感染した文書は他の文書を感染させる.NETコンポーネントをドロップします。


【ブログ】

◆OfflRouter virus causes Ukrainian users to upload confidential documents to VirusTotal (Talos(Cisco), 2024/04/17 07:59)
[OfflRouterウイルス、ウクライナのユーザーに機密文書をVirusTotalにアップロードさせる]
https://blog.talosintelligence.com/offlrouter-virus-causes-upload-confidential-documents-to-virustotal/