Авторизация  
FannyLife

Обнаружено шпионское ПО для похищения данных с изолированных систем

Рекомендуемые сообщения

Фреймворк Ramsay использует несколько векторов атак, в том числе уязвимости в Microsoft Office.

image.png.8d2dbb89affd9f37d07b299f28985229.png

Специалисты компании ESET обнаружили ранее неизвестное шпионское ПО Ramsay, способное похищать данные с физически изолированных систем.

Изначально исследователи обнаружили образец Ramsay на VirusTotal (он был загружен кем-то из Японии), а затем последовало обнаружение других компонентов и версий фреймворка. По мнению специалистов, Ramsay пока находится на стадии разработки, а его механизм доставки еще отрабатывается.

К настоящему времени выявлено лишь ограниченное число жертв, атакованных вредоносном. Специалисты объясняют это тем, что разработка Ramsay все еще продолжается. Кроме того, низкая видимость жертв может быть связана с особенностями атакуемых систем, находящихся в изолированных от интернета сетях.

Исследователи обнаружили у Ramsay схожие черты с бэкдором Retro, связываемым с известной APT-группой Darkhotel. Данная группировка занимается кибершпионажем с 2004 года, а в число ее жертв входят правительства Китая и Японии.

Ramsay использует несколько векторов атак. Ramsay version 1 попадает на атакуемую систему через вредоносный документ, эксплуатирующий уязвимость CVE-2017-0199 (выполнение произвольного кода из приложений Microsoft Office и WordPad). Документ доставляет исходный скрипт Visual Basic, извлекающий агент Ramsay, замаскированный под JPG-изображение. Под заголовком JPG содержится исполняемый файл, зашифрованный с помощью base64.

Ramsay version 2.a заражает систему под видом установщика 7zip, а Ramsay version 2.b – вместе с вредоносным документом, эксплуатирующим уязвимость CVE-2017-11882 в Microsoft Word.

Архитектура Ramsay обеспечивает ряд возможностей, управлять которыми можно через механизм авторизации, предоставляющий операторам фреймворка поток данных. Благодаря потоку данных операторы могут извлекать файлы и осуществлять боковое перемещение. Кроме того, Ramsay предоставляет общие статистические данные о каждой скомпрометированной системе и ее активности.

Поделиться сообщением


Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост требует одобрения модератора, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация