Караульный Z
112K subscribers
198K photos
88.4K videos
267 files
178K links
Медиапространство ручной работы.
Download Telegram
Forwarded from SecAtor
ESET обнаружили интереснейший образец вредоноса, предназначенного, судя по всему, для проникновения в физически изолированные сети. Исследователи дали ему название Ramsay.

ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.

Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.

В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.

Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.

Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.

В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.

Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.

#DarkHotel #Ramsay