Bratislava, Montreal, mei 2020 – ESET-onderzoekers hebben een niet eerder gedocumenteerde cyberspionageomgeving ontdekt die ze Ramsay hebben genoemd. Die omgeving is specifiek ontwikkeld voor het verzamelen en exfiltreren van gevoelige documenten afkomstig van air-gapped systemen, systemen die niet met internet of andere online systemen verbonden zijn. Daar het aantal slachtoffers tot dusver erg laag is, denkt ESET dat deze omgeving nog in volle ontwikkeling is.

“We vonden eerst een exemplaar van Ramsay in een VirusTotal-voorbeeld uit Japan geüpload en dat ons na de ontdekking bevestigde dat het nog in een ontwikkelingsfase is, met verspreidingsvectoren die aan fijne testen onderworpen zijn, ”aldus Alexis Dorais-Joncas, hoofd van het ESET-onderzoeksteam in Montreal.

Volgens de bevindingen van ESET heeft Ramsay verschillende ontwikkelingen doorgemaakt op basis van de verschillende gevallen van het gevonden kader, die wijzen op een lineaire progressie zowel van aantal en complexiteit van zijn mogelijkheden. De ontwikkelaars die verantwoordelijk zijn voor infectievectoren lijken verschillende benaderingen te proberen, zoals het gebruik van oude exploits voor Microsoft Word-kwetsbaarheden vanaf 2017 en het inzetten van getrojaniseerde applicaties, mogelijk voor verspreiding via spear-phishing.

De drie ontdekte versies van Ramsay verschillen in complexiteit en verfijning, waarbij de derde versie de meest geavanceerde is, vooral met betrekking tot ontwijking en persistentie.

De architectuur van Ramsay biedt een reeks mogelijkheden die via een logging-mechanisme beheerd worden:

  • Verzameling van bestanden en geheime opslag: het eerste doel van dit raamwerk is het verzamelen van alle bestaande Microsoft Word-documenten binnen het bestandssysteem van een doelwit.
  • Uitvoeren van de opdracht: het controleprotocol van Ramsay gebruikt een gedecentraliseerde methode voor het scannen en ophalen van opdrachten uit controledocumenten.
  • Verspreiding: Ramsay heeft een geïntegreerde component die zou ontworpen zijn om binnen air-gapped netwerken te werken.

“Opmerkelijk is hoe het architecturaal ontwerp van Ramsay, en meer bepaald de relatie tussen de verspreidings- en controlemogelijkheden, het mogelijk maakt te werken in air-gapped netwerken – netwerken die dus niet met internet verbonden zijn”, zegt Dorais-Joncas.

Overzicht van de ontdekte versies van Ramsay

A screenshot of a cell phone screen with text

Description automatically generated

Lees voor meer technische details over Ramsay, de blog post “Ramsay: A cyber espionage toolkit tailored for Air-Gapped Networks” https://www.welivesecurity.com/

Volg ESET Research op Twitter  ESET Research on Twitter voor het laatste nieuws van de onderzoeksteams.

Bezoek eveneens https://www.eset.com/be-nl/

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here