来自网络安全公司ESET的研究人员今天宣布,他们发现了一个前所未见的具有先进功能的恶意软件框架。
ESET表示,这个名为拉姆齐(Ramsay)的恶意软件工具包的设计特点,似乎是要感染被隔离的电脑,将Word和其他敏感文件收集到一个隐藏的存储容器中,然后等待可能的过滤机会。
拉姆齐的发现非常重要,因为我们很少看到含有“跳空”能力的恶意软件。“跳空”被认为是公司为保护敏感数据而采取的最严格、最有效的安全保护措施。
什么是气隙网络
“气隙系统”指的是与公司网络其余部分隔离并与公共互联网断开的计算机或网络。
在政府机构和大型企业的网络上,经常可以找到被隔离的电脑/网络,它们通常存储绝密文件或知识产权。
获得对空气间隙网络的访问通常被认为是任何安全漏洞的圣杯,因为这些系统通常不可能被攻破,因为空气间隙(缺乏与附近设备的任何连接)。
新的拉姆齐恶意软件可以跨越空气间隙
在今天发表的一份报告中,ESET表示,他们发现了一种罕见的恶意软件,这种病毒似乎是专门为跨越空气间隙、进入孤立网络而开发的。
ESET表示,他们已经能够追踪到三种不同版本的Ramsay恶意软件,一种是在2019年9月编译的Ramsay v1,另两种是在2020年3月初和下旬编译的Ramsay v2。一个和v2.b)。
每个版本都是不同的,通过不同的方法感染受害者,但在其核心,恶意软件的主要作用是扫描感染的计算机,并收集Word、PDF和ZIP文件在一个隐藏的存储文件夹,准备在以后的日子里被窃取。
其他版本还包括一个spreader模块,它将Ramsay恶意软件的副本附加到可移动驱动器和网络共享上的所有PE(便携式可执行文件)文件中。这被认为是恶意软件用来跨越空气间隙并到达隔离网络的机制,因为用户很可能会在公司不同的网络层之间移动受感染的可执行文件,并最终在一个隔离的系统上结束。
ESET说,在研究过程中,它无法确定拉姆齐的过滤模块,也无法确定拉姆齐操作员如何从空气间隙系统中检索数据。
然而,虽然这方面的攻击仍然未知,但现实世界显然已经发生。
“我们最初在VirusTotal发现了一个Ramsay的实例,”ESET研究员Ignacio Sanmillan说。“那个样本是从日本上传的,它让我们发现了这个框架的更多组件和版本。”
研究人员还没有正式确定谁是拉姆齐的幕后黑手。然而,Sanmillan表示,该恶意软件包含大量与Retro共享的内容,而Retro是由黑客组织DarkHotel之前开发的一种恶意软件。许多人认为,该组织的行为符合韩国政府的利益。
(来源:FreeBuf)