Ramsay Malware - Ramsay Malware

Рамзи, также называемый Ramsay Malware, это фреймворк и инструментарий кибершпионажа, который был обнаружен Исследования ESET в 2020 году.[1]

Ramsay специально разработан для систем Windows в сетях, которые не подключены к Интернет и который также изолирован от интрасети компаний, так называемые с воздушным зазором сети, из которых он крадет конфиденциальные документы, такие как документы Word, после их предварительного сбора в скрытой папке хранения.[2][3]

Исследователи ESET обнаружили различные версии вредоносного ПО и считают, что в мае 2020 года оно все еще находилось в разработке. Они пронумеровали версии Ramsay Version 1, Ramsay Version 2a и Ramsay Version 2b. Самым первым столкновением с вредоносным ПО был образец, загруженный из Япония к VirusTotal. Первая версия была скомпилирована в сентябре 2019 года. Последняя найденная версия была самой продвинутой.[1]

Обнаружение Ramsay было признано столь же важным, поскольку вредоносные программы редко могут атаковать физически изолированные устройства.[4]

Авторство

Хотя авторство не указывается, у него много общих артефактов с Retro, бэкдором от взлома. Darkhotel считается, что действует в интересах Южная Корея.[5]

Работа вредоносного ПО

Три версии Ramsay, обнаруженные ESET, работают по-разному.

Ramsay версии 1 не включает руткит, в то время как более поздние версии делают.

Ramsay версии 1 и 2.b используют CVE-2017-0199, «уязвимость Microsoft Office / WordPad, связанную с удаленным выполнением кода с Windows API».[6]

Версия 2.b также использует эксплойт CVE-2017-11882 в качестве вектора атаки.[2]

Способ распространения Рамзи - через съемные носители, такие как USB-накопители и сетевые ресурсы. Таким образом, вредоносная программа может прыгнуть через "воздушный промежуток".[3]

Рекомендации

  1. ^ а б «ESET Research | ESET обнаружила новый фреймворк для кибершпионажа под названием Ramsay». 16 мая 2020 г. Архивировано с оригинал на 2020-05-16.
  2. ^ а б «Рамзи: набор инструментов для кибершпионажа, предназначенный для сетей с воздушными зазорами | WeLiveSecurity». 14 мая 2020 г. Архивировано с оригинал на 2020-05-14.
  3. ^ а б «Новое вредоносное ПО Ramsay может украсть конфиденциальные документы из сетей с воздушным зазором | ZDNet». 13 мая 2020 г. Архивировано с оригинал на 2020-05-13.
  4. ^ «ESET обнаружила системы нацеливания вредоносных программ Ramsay изолированными воздушным зазором». 20 мая 2020 г. Архивировано с оригинал на 2020-05-20.
  5. ^ Чимпану, Каталин. «Новое вредоносное ПО Ramsay может похищать конфиденциальные документы из сетей с воздушным зазором». ZDNet.
  6. ^ "Wayback Machine". web.archive.org. Cite использует общий заголовок (помощь)

внешняя ссылка