Ramsay Malware - Ramsay Malware

Рамзи, также называемый Ramsay Malware, это фреймворк и инструментарий кибершпионажа, который был обнаружен Исследования ESET в 2020 году.^[1]

Ramsay специально разработан для систем Windows в сетях, которые не подключены к Интернет и который также изолирован от интрасети компаний, так называемые с воздушным зазором сети, из которых он крадет конфиденциальные документы, такие как документы Word, после их предварительного сбора в скрытой папке хранения.^[2][3]

Исследователи ESET обнаружили различные версии вредоносного ПО и считают, что в мае 2020 года оно все еще находилось в разработке. Они пронумеровали версии Ramsay Version 1, Ramsay Version 2a и Ramsay Version 2b. Самым первым столкновением с вредоносным ПО был образец, загруженный из Япония к VirusTotal. Первая версия была скомпилирована в сентябре 2019 года. Последняя найденная версия была самой продвинутой.^[1]

Обнаружение Ramsay было признано столь же важным, поскольку вредоносные программы редко могут атаковать физически изолированные устройства.^[4]

Авторство

Хотя авторство не указывается, у него много общих артефактов с Retro, бэкдором от взлома. Darkhotel считается, что действует в интересах Южная Корея.^[5]

Работа вредоносного ПО

Три версии Ramsay, обнаруженные ESET, работают по-разному.

Ramsay версии 1 не включает руткит, в то время как более поздние версии делают.

Ramsay версии 1 и 2.b используют CVE-2017-0199, «уязвимость Microsoft Office / WordPad, связанную с удаленным выполнением кода с Windows API».^[6]

Версия 2.b также использует эксплойт CVE-2017-11882 в качестве вектора атаки.^[2]

Способ распространения Рамзи - через съемные носители, такие как USB-накопители и сетевые ресурсы. Таким образом, вредоносная программа может прыгнуть через "воздушный промежуток".^[3]

Рекомендации

внешняя ссылка

• Статья WeLiveSecurity о Рамзи, сохраненная в Интернет-архиве
• Пресс-релиз ESET о Рамзи, сохраненный в Интернет-архиве