Ramsay Malware - Ramsay Malware

Ramsay, označovaný také jako Ramsay Malware, je rámec a sada nástrojů pro kybernetickou špionáž, kterou objevil Výzkum společnosti ESET v roce 2020.^[1]

Ramsay je speciálně přizpůsoben pro systémy Windows v sítích, které nejsou připojeny k internetu Internet a to také izolováno od intranety společností, tzv vzduchová mezera sítí, ze kterých po prvním shromáždění ve skryté složce úložiště ukradne citlivé dokumenty, jako jsou dokumenty Word.^[2]^[3]

Vědci z ESETu našli různé verze malwaru a věří, že v květnu 2020 byl stále ve vývoji. Očíslovali verze Ramsay verze 1, Ramsay verze 2a a Ramsay verze 2b. Úplně první setkání s malwarem byl vzorek, který byl nahrán z Japonsko na VirusCelkem. První verze byla kompilována v září 2019. Poslední verze, kterou našli, byla nejpokročilejší.^[1]

Objev Ramsaye byl považován za významný, protože malware je zřídka schopen cílit na fyzicky izolované zařízení.^[4]

Autorství

Ačkoli autorství nebylo přičítáno, má mnoho společných artefaktů s Retro, backdoor hacking entity Darkhotel věří, že působí v zájmu Jižní Korea.^[5]

Fungování malwaru

Tři verze Ramsay, které ESET našel, mají odlišné fungování.

Ramsay verze 1 nezahrnuje a rootkit, zatímco novější verze ano.

Ramsay verze 1 a 2.b využívají CVE-2017-0199, „Chyba zabezpečení Microsoft Office / WordPad Remote Code Execution zranitelnost w / Windows API.“^[6]

Verze 2.b také využívá exploit CVE-2017-11882 jako vektor útoku.^[2]

Způsob, jakým se Ramsay může šířit, je pomocí vyměnitelných médií USB klíče a sdílení v síti. Tímto způsobem může malware přeskočit vzduchovou mezeru.^[3]

Reference

^ ^A ^b „Nový rámec pro kybernetickou špionáž s názvem Ramsay objeven společností ESET Research | ESET“. 16. května 2020. Archivovány od originál dne 2020-05-16.
^ ^A ^b „Ramsay: Sada nástrojů pro kybernetickou špionáž šitá na míru pro sítě se vzduchovou mezerou | WeLiveSecurity“. 14. května 2020. Archivovány od originál dne 2020-05-14.
^ ^A ^b „Nový malware Ramsay může ukrást citlivé dokumenty ze sítí se vzduchovou mezerou | ZDNet“. 13. května 2020. Archivovány od originál dne 2020-05-13.
^ „ESET zjistil, že malware zaměřený na Ramsay je izolován vzduchovou mezerou“. 20. května 2020. Archivovány od originál dne 2020-05-20.
^ Cimpanu, Catalin. „Nový malware Ramsay může ukrást citlivé dokumenty ze sítí se vzduchovou mezerou“. ZDNet.
^ „Wayback Machine“. web.archive.org. Citovat používá obecný název (Pomoc)

externí odkazy

[eset-1] A ^b „Nový rámec pro kybernetickou špionáž s názvem Ramsay objeven společností ESET Research | ESET“. 16. května 2020. Archivovány od originál dne 2020-05-16.

[welivesecurity-2] A ^b „Ramsay: Sada nástrojů pro kybernetickou špionáž šitá na míru pro sítě se vzduchovou mezerou | WeLiveSecurity“. 14. května 2020. Archivovány od originál dne 2020-05-14.

[zdnet-3] A ^b „Nový malware Ramsay může ukrást citlivé dokumenty ze sítí se vzduchovou mezerou | ZDNet“. 13. května 2020. Archivovány od originál dne 2020-05-13.

[meterpreter-4] „ESET zjistil, že malware zaměřený na Ramsay je izolován vzduchovou mezerou“. 20. května 2020. Archivovány od originál dne 2020-05-20.

[5] Cimpanu, Catalin. „Nový malware Ramsay může ukrást citlivé dokumenty ze sítí se vzduchovou mezerou“. ZDNet.

[nist-6] „Wayback Machine“. web.archive.org. Citovat používá obecný název (Pomoc)

[1]

[2]

[3]

[4]

[5]

[6]