Malware

Ramsay: เครื่องมือจารกรรมที่ออกแบบสำหรับเครือข่าย air-gapped

Ramsay มัลแวร์ที่ออกแบบเพื่อรวบรวมข้อมูลสำคัญและสามารถทำงานภายในเครือข่ายแยก Air-Gapped ได้

Ramsay มัลแวร์ที่ออกแบบเพื่อรวบรวมข้อมูลสำคัญและสามารถทำงานภายในเครือข่ายแยก Air-Gapped ได้

เราพบตัวอย่าง Ramsay ใน VirusTotal ที่อัพโหลดมาจากประเทศญี่ปุ่น และดำเนินการตรวจสอบ Framework ทำให้พบหลักฐานและสรุปได้ว่าพวกเขากำลังอยู่ในขั้นตอนพัฒนา

ณ ตอนนี้การตรวจจับยังไม่ค่อยมีให้เห็นมาก แต่อาจเป็นเพราะมัลแวร์ตัวนี้ทำงานในระบบ Air-Gapped ที่ไม่มีการเชื่อมต่อ

จากส่วนประกอบ Retro backdoor ที่เราเจอทำให้สามารถคาดเดาได้ว่ามัลแวร์ตั้วนี้มีส่วนเกี่ยวข้องกับ Darkhotel ของกลุ่มแฮกเกอร์ APT Group ที่เริ่มปฏิบัติการมาตั้งแต่ปี 2004 ซึ่งมีเป้าหมายเป็นหน่วยงานรัฐบาลในจีนและญี่ปุ่น

การแพร่กระจายนั้นทำผ่านหลายทิศทาง เช่น ช่องโหว่ใน Microsoft Word 2017 และแอปพลิเคชั่นที่ฝังโทรจันเอาไว้ ผู้โจมตีมีความเข้าใจการทำงานของเป้าหมายเป็นอย่างดีและสามารถแทรกซึมเข้าสู่เครือข่ายเป้าหมายโดยไม่ใช้ทรัพยากรอย่างสิ้นเปลือง

Author: Ignacio Sanmillan
Source:
https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/
Translated by: Worapon H.

%d bloggers like this: