innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ウクライナ政府ネットワーク、長年マルウェア「OfflRouter」に感染

ウクライナ政府ネットワーク、長年マルウェア「OfflRouter」に感染 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-15 05:08 by admin

ウクライナの一部の政府ネットワークは、2015年以来、OfflRouterと呼ばれるマルウェアに感染し続けている。この発見は、Cisco TalosがVirusTotalマルウェアスキャンプラットフォームにアップロードされた100以上の機密文書を分析した結果に基づいている。セキュリティ研究者のVanja Svajcerによると、これらの文書にはVBAマクロウイルスが含まれており、「ctrlpanel.exe」という名前の実行可能ファイルをドロップして実行するVBAコードが含まれていた。このウイルスはウクライナで依然として活動しており、機密性の高い文書が公開されている文書リポジトリにアップロードされる可能性がある。

OfflRouterは、電子メール経由での拡散ができないため、文書の共有や取り外し可能なメディア(USBメモリスティックなど)を介して拡散する必要がある。この設計上の選択は、意図的であるかどうかにかかわらず、OfflRouterの拡散をウクライナ国内の数組織に限定し、ほぼ10年間検出を逃れることに貢献した。マルウェアの背後にいる人物や組織については現在も不明であり、ウクライナの誰かによって開発されたという兆候はない。しかし、その人物は、伝播メカニズムが珍しく、ソースコードにいくつかの間違いがあるため、発明的だが未熟であるとされている。

OfflRouterは、2018年5月にMalwareHunterTeamによって初めて注目され、2021年8月にはスロバキアのComputer Security Incident Response Team (CSIRT.SK)によって、ウクライナ国家警察のウェブサイトにアップロードされた感染文書の詳細が報告された。攻撃の手口はほとんど変わらず、VBAマクロが埋め込まれたMicrosoft Word文書が「ctrlpanel.exe」という.NET実行可能ファイルをドロップし、システム上およびその他の取り外し可能メディアにある.DOC拡張子(.DOCXではない)のすべてのファイルを同じマクロで感染させる。

攻撃はVBAマクロが有効になっている場合にのみ成功する。Microsoftは2022年7月から、インターネットからダウンロードしたOffice文書のマクロをデフォルトでブロックしており、脅威アクターは他の初期アクセス経路を求めている。また、マルウェアは、実行可能ファイルがシステム起動時に毎回実行されるようにWindowsレジストリを変更する機能も持っている。

Ctrlpanel.exeは、取り外し可能ドライブ上に存在する可能性のあるプラグイン(拡張子.ORP)を検索し、それらをマシン上で実行する機能も備えている。これは、マルウェアがUSBドライブやCD-ROM経由でプラグインが配信されることを期待していることを意味する。

【ニュース解説】

ウクライナの一部の政府ネットワークが、2015年以来、OfflRouterというマルウェアに感染し続けていることが明らかになりました。この発見は、Cisco Talosによる100以上の機密文書の分析に基づいています。これらの文書にはVBAマクロウイルスが含まれており、「ctrlpanel.exe」という実行可能ファイルをドロップして実行するVBAコードが含まれていました。このウイルスはウクライナで依然として活動しており、機密性の高い文書が公開されている文書リポジトリにアップロードされる可能性があるとされています。

OfflRouterは、電子メール経由での拡散ができないため、文書の共有や取り外し可能なメディア(USBメモリスティックなど)を介して拡散する必要があります。この設計上の選択は、OfflRouterの拡散をウクライナ国内の数組織に限定し、ほぼ10年間検出を逃れることに貢献しました。マルウェアの背後にいる人物や組織については現在も不明であり、ウクライナの誰かによって開発されたという兆候はありません。

このマルウェアは、攻撃が成功するためにはVBAマクロが有効になっている必要があります。Microsoftは2022年7月から、インターネットからダウンロードしたOffice文書のマクロをデフォルトでブロックしていますが、このマルウェアはシステム起動時に毎回実行されるようにWindowsレジストリを変更する機能も持っています。

Ctrlpanel.exeは、取り外し可能ドライブ上に存在する可能性のあるプラグインを検索し、それらをマシン上で実行する機能も備えています。これは、マルウェアがUSBドライブやCD-ROM経由でプラグインが配信されることを期待していることを意味します。

このマルウェアの存在が長期間にわたって検出されなかったことは、サイバーセキュリティの分野における複数の重要な教訓を提供します。まず、マルウェアの拡散手段として電子メールだけでなく、物理的なメディアの利用が依然として有効であることを示しています。また、機密文書が不正にアップロードされるリスクを考慮すると、組織は文書のセキュリティとアクセス管理に対する警戒を強化する必要があります。

さらに、このケースは、マルウェアが特定の地域や組織に限定されて拡散する場合、長期間にわたって検出を逃れる可能性があることを示しています。これは、サイバーセキュリティ対策がグローバルな視点だけでなく、地域的な特性にも注意を払うべきであることを強調しています。

最後に、この事件は、サイバーセキュリティの専門家が常に新しい脅威に対して警戒し、防御策を更新し続ける必要があることを思い出させます。特に、マクロを利用した攻撃は、多くの組織にとって依然として重要な脅威であり、適切な対策が必要です。

from OfflRouter Malware Evades Detection in Ukraine for Almost a Decade.

投稿者アバター
admin
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ウクライナ政府ネットワーク、長年マルウェア「OfflRouter」に感染

Latest News