新的Ramsay恶意软件可以从有空隙的网络中窃取敏感文档

2020-05-14 04:14:14

来自网络安全公司ESET的研究人员今天宣布,他们发现了一种前所未见的恶意软件框架,具有当今罕见的高级功能。

名为Ramsay的ESET表示,这个恶意软件工具包似乎是被设计来感染有气隙的计算机,将Word和其他敏感文件收集在一个隐藏的存储容器中,然后等待可能的渗出机会。

Ramsay的发现是一个重要的发现,因为我们很少看到有能力跳过空隙的恶意软件,这被认为是公司可以采取的最严格和最有效的安全保护措施,以保护敏感数据。

气隙系统是指与公司网络的其余部分隔离并与公共互联网隔绝的计算机或网络。

气隙计算机/网络经常出现在政府机构和大型企业的网络上,它们通常存储绝密文件或知识产权。

访问气隙网络通常被认为是任何安全漏洞的圣杯,因为由于气隙(缺乏与附近设备的任何连接),这些系统通常是不可能被攻破的。

在今天发布的一份报告中,ESET表示,它发现了一种罕见的恶意软件株,似乎是专门开发出来的,目的是跳过空气间隙,到达孤立的网络。

根据ESET从其发现的Ramsay恶意软件样本中收集到的信息,可以看到使用Ramsay工具包的攻击按以下模式运行:

如果受害者下载并运行该文档,该文件会尝试使用CVE-2017-1188或CVE-2017-0199漏洞感染用户Ramsay恶意软件。

拉姆齐(Ramsay&34;)收藏家模块开始运作。此模块搜索受害者的整个计算机,并在隐藏的存储文件夹中收集Word、PDF和ZIP文档。

拉姆齐的撒布器模块也发挥了作用。此模块将Ramsay恶意软件的副本附加到在可移动驱动器和网络共享上找到的所有PE(便携可执行)文件。

ESET说,在研究期间,它还没有能够识别出任何拉姆齐渗出模块。

ESET研究员伊格纳西奥·桑米伦(Ignacio Sanmilan)说:我们最初在VirusTotal中发现了一个Ramsay实例。该样本是从日本上传的,并使我们发现了该框架的更多组件和版本。

ESET表示,他们已经能够追踪到Ramsay恶意软件框架的三个不同版本,一个在2019年9月编译(Ramsay V1),另外两个在2020年3月初和下旬编译(Ramsay v2.a和v2.b)。

桑米伦说,ESET发现了大量证据,可以得出结论,这个框架正处于开发阶段,黑客仍在修补代码。

例如,电子邮件的传递方式多种多样,在最近的Ramsay版本中,该恶意软件还在Word文档之上收集PDF和ZIP文件。

研究人员还没有正式确定谁可能是拉姆齐的幕后黑手。不过,桑米伦表示,恶意软件包含大量与Retro共享的文物,Retro是此前由黑客组织DarkHotel开发的恶意软件菌株,据信该组织是为了韩国政府的利益而运营。