Forwarded from SecAtor
ESET обнаружили интереснейший образец вредоноса, предназначенного, судя по всему, для проникновения в физически изолированные сети. Исследователи дали ему название Ramsay.
ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.
Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.
В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.
Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.
Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.
В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.
Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.
#DarkHotel #Ramsay
ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.
Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.
В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.
Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.
Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.
В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.
Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.
#DarkHotel #Ramsay
WeLiveSecurity
Ramsay: A cyber‑espionage toolkit tailored for air‑gapped networks
ESET researchers have discovered Ramsay, a previously unreported cyber-espionage framework that is tailored for collection and exfiltration of sensitive documents and is capable of operating within air-gapped networks.
Forwarded from SecAtor
В ходе расследования ресерчеры обнаружили в коде используемых хакерами вредоносов вставки на корейском языке, что дало основание полагать, что DarkHotel являются корейской группой. Но какой из Корей – Северной или Южной? Китайские исследователи без сомнений утверждают, что хакеры родом из Сеула. И этому есть определенные подтверждения - например, принцип выбор целей в ходе скоординированных кампаний.
Кстати, в ходе своих операций DarkHotel продемонстрировали возможность взлома 512-битных RSA-ключей (они использовали их для подписей поддельных сертификатов). Для этого требовались на тот момент весьма мощные системы. Еще один плюс в столбик того, что DarkHotel – это южнокорейские спецслужбы.
#APT #DarkHotel
Кстати, в ходе своих операций DarkHotel продемонстрировали возможность взлома 512-битных RSA-ключей (они использовали их для подписей поддельных сертификатов). Для этого требовались на тот момент весьма мощные системы. Еще один плюс в столбик того, что DarkHotel – это южнокорейские спецслужбы.
#APT #DarkHotel