Ramsay Malware

Ramsay Malware — программная платформа и инструментарий для кибершпионажа, обнаруженный исследователями компании ESET в 2020 году[1].

Ramsay ориентирована специально на системы под управлением Windows, действующие в изолированных от Интернета и корпоративных интранетов сетях, так называемых air-gapped-сетях. В этих условиях вредоносная программа собирает конфиденциальные документы (например, файлы Word), накапливает их в скрытой папке, а затем похищает[2][3].

Исследователи ESET обнаружили различные версии вредоносной программы и полагают, что по состоянию на май 2020 года она всё ещё находилась в разработке. Версии получили обозначения Ramsay Version 1, Ramsay Version 2a и Ramsay Version 2b. Самый первый экземпляр вредоносной программы был загружен на ресурс VirusTotal из Японии. Первая версия была скомпилирована в сентябре 2019 года, а наиболее совершенной стала последняя обнаруженная версия[1].

Открытие Ramsay считается значимым, так как редко встречаются вредоносные программы, способные поражать физически изолированные устройства[4].

Авторство

Несмотря на то, что авторство точно не установлено, Ramsay имеет много схожих черт с вредоносной программой Retro, созданной хакерской группировкой Darkhotel, предположительно действующей в интересах Южной Кореи[5].

Принцип работы вредоносной программы

Обнаруженные специалистами ESET три версии Ramsay различаются по функциональности.

В версии Ramsay 1 отсутствует руткит, а в более поздних версиях он реализован.

Версии Ramsay 1 и 2b эксплуатируют уязвимость CVE-2017-0199 — «Исполнение удалённого кода в Microsoft Office/WordPad с помощью Windows API»[6].

Версия 2b также использует эксплойт CVE-2017-11882 как вектор атаки[2].

Распространение Ramsay происходит с помощью сменных носителей информации, таких как USB-накопители, а также по общим сетевым папкам. Это позволяет вредоносной программе преодолевать air gap[3].

Примечания

Литература

Категории