Компания ESET сообщает об обнаружении ранее неизвестного инструментария для кибершпионажа под названием Ramsay. Этот вредоносный компонент предназначен для сбора и похищения конфиденциальных документов из систем, которые не подключены к интернету. Поскольку количество жертв пока очень низкое, вероятно, этот инструментарий для кибершпионажа находится в процессе разработки.

«Мы сначала обнаружили Ramsay в образце VirusTotal, загруженном из Японии, что привело к выявлению других версий и дальнейших компонентов для кибершпионажа, а также предоставило существенные доказательства того, что инструментарий все еще находится на стадии разработки», — рассказывает Алексис Дорайс-Йонкас, руководитель научно-исследовательской команды ESET в Монреале.

Согласно исследованию специалистов ESET, с каждым новым образцом возможности для кибершпионажа Ramsay постепенно совершенствуются. Авторы угрозы пытаются использовать различные векторы заражения – от применения старых эксплойтов для уязвимостей Microsoft Word к развертыванию троянизированных приложений для распространения угрозы, возможно, путем фишинга. Три выявленные версии Ramsay отличаются сложностью, при этом последняя третья версия является самой современной, особенно ее функционал для избежания обнаружения.

Архитектура вредоносного программного обеспечения обладает рядом возможностей, управление которыми происходит через механизм записи данных:

  • Сбор файлов и скрытое хранение: основная цель этого компонента — собрать все существующие документы Microsoft Word в определенной файловой системе.

  • Выполнение команд: протокол управления Ramsay реализует децентрализованный метод сканирования и получения команд из контрольных документов.

  • Распространение: инструментарий для кибершпионажа встраивает компонент, который, вероятно, предназначен для работы в физически изолированных сетях.

«Особого внимания заслуживает то, как архитектура Ramsay, особенно взаимосвязь между возможностями распространения и управлением, позволяет ему работать в сетях, не подключенных к Интернету», — комментирует Алексис Дорайс-Йонкас.