可突破物理隔離的惡意軟件框架——Ramsay
摘要:ESET將這個惡意軟件框架名爲Ramsay,表示該惡意軟件工具包被設計用來感染物理隔離的計算機,可以將Word和其他敏感文檔藏入一個隱蔽的存儲容器中,等待合適的泄露機會。ESET在今天發佈的一份報告中指出,Ramsay幾乎就是專門爲破防物理隔離網絡而開發的。
網絡安全公司ESET的研究人員今天宣佈,他們發現了一個前所未有的惡意軟件框架,該框架具有當今很少見的高級功能。
ESET將這個惡意軟件框架名爲Ramsay,表示該惡意軟件工具包被設計用來感染物理隔離的計算機,可以將Word和其他敏感文檔藏入一個隱蔽的存儲容器中,等待合適的泄露機會。
Ramsay是一個重大發現,因爲安全界很少看到能夠攻擊物理隔離設備的惡意軟件,通常來說,物理隔離是公司可以採取的最嚴格和有效的敏感數據安全保護措施。
物理隔離系統是與公司網絡的其餘部分隔離並與公共互聯網斷開的計算機或網絡。
物理隔離的計算機/網絡經常出現在政府機構和大型企業的網絡中,它們通常存儲着絕密文件或知識產權。
滲透物理隔離網絡通常被視爲安全漏洞的聖盃,因爲破壞或滲透物理隔離系統的難度極大。
ESET在今天發佈的一份報告中指出,Ramsay幾乎就是專門爲破防物理隔離網絡而開發的。
根據ESET收集的信息,使用Ramsay工具箱的攻擊可以通過以下模式進行:
ESET表示,在研究期間,尚未發現Ramsay的數據提取模塊。
儘管如此,ESET表示該惡意軟件已被廣泛使用。
ESET研究人員Ignacio Sanmillan說:
ESET表示,他們已經跟蹤了三種不同版本的Ramsay惡意軟件框架,其中一個版本於2019年9月編譯(Ramsay v1),另外兩個版本編譯於2020年3月上旬至下旬(Ramsay v2.a和v2.b)。
Sanmillan說,ESET發現“大量證據可以得出結論,該框架處於開發階段”,並且黑客仍在修改代碼。
例如,電子郵件的傳遞方法多種多樣,在最近的Ramsay版本中,該惡意軟件還在Word文檔之外收集了PDF和ZIP文件。
研究人員尚未正式歸因於誰可能是Ramsay的幕後推手。但是,Sanmillan表示,該惡意軟件包含與Retro一起的大量共享工件,而Retro是由朝鮮黑客組織DarkHotel開發的一種惡意軟件。
Ramsay-Retro代碼的相似之處 圖片來源:ESET