Рамзи Вредоносное ПО

Ramsay , также известный как Ramsay Malware , представляет собой инфраструктуру и набор инструментов для кибершпионажа, обнаруженные исследовательской компанией ESET Research в 2020 году. ^[1]

Ramsay специально разработан для систем Windows в сетях, которые не подключены к Интернету , а также изолированы от интрасетей компаний, так называемых изолированных сетей, из которых он крадет конфиденциальные документы, такие как документы Word, после предварительного сбора их в скрытой папке хранения. . ^[2]^[3]

Исследователи ESET обнаружили различные версии вредоносного ПО и полагают, что в мае 2020 года оно все еще находилось в стадии разработки. Они пронумеровали версии Ramsay Version 1, Ramsay Version 2a и Ramsay Version 2b. Самым первым столкновением с вредоносным ПО стал образец, загруженный из Японии на VirusTotal . Первую версию скомпилировали в сентябре 2019 года. Последняя найденная версия была самой продвинутой. ^[1]

Обнаружение Рамзи было сочтено важным, поскольку вредоносное ПО редко способно атаковать физически изолированные устройства. ^[4]

Авторство

Хотя авторство не установлено, у него есть много общих артефактов с Retro, бэкдором хакерской организации Darkhotel, предположительно действующей в интересах Южной Кореи . ^[5]

Работа вредоносного ПО

Три версии Ramsay, обнаруженные ESET, работают по-разному.

Ramsay версии 1 не включает руткит , в отличие от более поздних версий.

Ramsay версии 1 и 2.b используют CVE-2017-0199, «уязвимость удаленного выполнения кода Microsoft Office/WordPad с помощью Windows API». ^[6]

Версия 2.b также использует эксплойт CVE-2017-11882 в качестве вектора атаки. ^[2]

Рамзи может распространяться через съемные носители, такие как USB-накопители и общие сетевые ресурсы. Таким образом, вредоносное ПО может преодолеть воздушный зазор. ^[3]

Ссылки

^ Jump up to: ^а ^б «Новая система кибершпионажа под названием Ramsay обнаружена ESET Research | ESET» . 16 мая 2020 г. Архивировано из оригинала 16 мая 2020 г.
^ Jump up to: ^а ^б «Рамзи: набор инструментов кибершпионажа, специально разработанный для изолированных сетей | WeLiveSecurity» . 14 мая 2020 г. Архивировано из оригинала 14 мая 2020 г.
^ Jump up to: ^а ^б «Новое вредоносное ПО Ramsay может украсть конфиденциальные документы из изолированных сетей» . ЗДНет . 13 мая 2020 г. Архивировано из оригинала 13 мая 2020 г.
^ «Компания ESET обнаружила, что вредоносное ПО Ramsay нацелено на системы, изолированные воздушным зазором» . 20 мая 2020 г. Архивировано из оригинала 20 мая 2020 г.
^ Чимпану, Каталин. «Новое вредоносное ПО Ramsay может украсть конфиденциальные документы из изолированных сетей» . ЗДНет .
^ «Подробно CVE-2017-0199» . nvd.nist.gov . Архивировано из оригинала 29 июля 2022 г.

Внешние ссылки

[eset-1] Jump up to: ^а ^б «Новая система кибершпионажа под названием Ramsay обнаружена ESET Research | ESET» . 16 мая 2020 г. Архивировано из оригинала 16 мая 2020 г.

[welivesecurity-2] Jump up to: ^а ^б «Рамзи: набор инструментов кибершпионажа, специально разработанный для изолированных сетей | WeLiveSecurity» . 14 мая 2020 г. Архивировано из оригинала 14 мая 2020 г.

[zdnet-3] Jump up to: ^а ^б «Новое вредоносное ПО Ramsay может украсть конфиденциальные документы из изолированных сетей» . ЗДНет . 13 мая 2020 г. Архивировано из оригинала 13 мая 2020 г.

[meterpreter-4] «Компания ESET обнаружила, что вредоносное ПО Ramsay нацелено на системы, изолированные воздушным зазором» . 20 мая 2020 г. Архивировано из оригинала 20 мая 2020 г.

[5] Чимпану, Каталин. «Новое вредоносное ПО Ramsay может украсть конфиденциальные документы из изолированных сетей» . ЗДНет .

[nist-6] «Подробно CVE-2017-0199» . nvd.nist.gov . Архивировано из оригинала 29 июля 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]