Компанія ESET — лідер у галузі інформаційної безпеки —повідомляє про виявлення раніше невідомого інструментарію для кібершпигунства під назвою Ramsay. Цей шкідливий компонент призначений для збору та викрадення конфіденційних документів із систем, які не підключені до Інтернету. Оскільки кількість жертв поки що дуже низька, ймовірно, цей інструмент для кібершпигунства знаходиться в процесі розробки.
«Ми спочатку виявили Ramsay у зразку VirusTotal, завантаженому з Японії, що привело до відкриття інших версії та подальших компонентів для кібершпигунства, а також надало суттєві доказів того, що інструментарій все ще знаходиться на стадії розробки», — розповідає Алексіс Дорайс-Йонкас, керівник науково-дослідної команди ESET в Монреалі.
Відповідно до дослідження спеціалістів ESET, з кожним новим зразком можливості для кібершпигунства Ramsay поступово вдосконалюються. Автори загрози намагаються використовувати різні вектори інфікування – від застосування старих експлойтів для уразливостей Microsoft Word до розгортання троянізованих додатків для поширення загрози, можливо, шляхом фішингу. Три виявлені версії Ramsay відрізняються складністю та витонченістю, при цьому остання третя версія є найсучаснішою, особливо її функціонал для уникнення виявлення.
Виявлені версії
Архітектура шкідливого програмного забезпечення володіє рядом можливостей, управління якими відбувається через механізм запису даних:
- Збір файлів та приховане зберігання: основна ціль цього компоненту — зібрати всі існуючі документи Microsoft Word у певній файловій системі.
- Виконання команд: протокол управління Ramsay реалізує децентралізований метод сканування та отримання команд з контрольних документів.
- Поширення: інструментарій для кібершпигунства вбудовує компонент, який, ймовірно, призначений для роботи в фізично ізольованих мережах.
«Особливої уваги заслуговує те, як архітектура Ramsay, особливо взаємозв'язок між можливостями розповсюдження та управлінням, дозволяє йому працювати в мережах, які не підключені до Інтернету», — коментує Алексіс Дорайс-Йонкас.
Детальнішу інформацію про загрозу для кібершпигунства та ідентифікатори компрометації можна знайти за посиланням.