Виявлено шпигунське ПЗ для викрадення даних з ізольованих систем

Виявлено шпигунське ПЗ для викрадення даних з ізольованих систем

    Фахівці компанії ESET виявили раніше невідоме шпигунське ПЗ Ramsay, здатне викрадати дані з фізично ізольованих систем.

   Спочатку дослідники виявили зразок Ramsay на VirusTotal (він був завантажений кимось із Японії), а потім пішло виявлення інших компонентів і версій фреймворка. На думку фахівців, Ramsay поки знаходиться на стадії розробки, а його механізм доставки ще відпрацьовується.

    До теперішнього часу виявлено лише обмежене число жертв, атакованих шкідником. Фахівці пояснюють це тим, що розробка Ramsay все ще триває. Крім того, низька видимість жертв може бути пов'язана з особливостями атакованих систем, що знаходяться в ізольованих від інтернету мережах.

   Дослідники виявили у Ramsay схожі риси з бекдор Retro, пов'язують з відомою APT-групою Darkhotel. Дане угрупування займається кібершпіонажем з 2004 року, а в число її жертв входять уряду Китаю і Японії.

    Ramsay використовує кілька векторів атак. Ramsay version 1 потрапляє на систему, що атакується через шкідливий документ, який експлуатує уразливість CVE-2017-0199 (виконання довільного коду з додатків Microsoft Office і WordPad). Документ доставляє вихідний скрипт Visual Basic, який видобуває агент Ramsay, замаскований під JPG-зображення. Під заголовком JPG міститься виконуваний файл, зашифрований за допомогою base64.

  Ramsay version 2.a заражає систему під виглядом установника 7zip, а Ramsay version 2.b — разом з шкідливим документом, що експлуатує уразливість CVE-2017-11882 в Microsoft Word.

   Архітектура Ramsay забезпечує ряд можливостей, управляти якими можна через механізм авторизації, що надає операторам фреймворка потік даних. Завдяки потоку даних оператори можуть витягувати файли і здійснювати бічне переміщення. Крім того, Ramsay надає загальні статистичні дані про кожну скомпрометовану систему і її активності.

21:17
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|