Программа в разработке
Эксперты компании ESET обнаружили новый вредоносный набор, который способен, среди прочего, выводить данные из изолированных полностью отключенных от интернета систем. Вредонос под названием Ramsay является довольно продвинутой шпионской программой, которая проникает на изолированные системы через переносные накопители и загодя инфицированные файлы документов. Для этого эксплуатируются старые уязвимости в Microsoft Word.
Главный предмет интереса для Ramsay также составляют документы: он ищет, архивирует и ждет возможности скопировать на внешний носитель файлы Word, а также — в более новых версиях — PDF и ZIP-архивы.
Исследователи ESET утверждают, что вредонос находится в стадии активной разработки. К настоящему времени выявлены три варианта, самый ранний из которых датирован сентябрем 2019 г., а два других мартом 2020 г.
Работа с документамиПервичное заражение производится через вредоносные документы, эксплуатирующие уязвимости CVE-2017-0199 и CVE-2017-11882. Самая новая версия распространяется также через поддельный инсталлятор архиватора 7-Zip.
Шпионская программа вывозит данные из изолированных системСхема заражения выглядит следующим образом. Компонент, обозначенный как Spreader («распространитель»), присутствующий только в версии 2.a, ведет себя крайне агрессивно, вплоть до того, что может заражать все исполняемые файлы на целевых приводах. По всей видимости, это делается с прицелом на максимальный охват.
Два других варианта ведут себя не так агрессивно, и, вероятно, предназначены для более узконаправленных операций. Все варианты Ramsay собирают документы Word по всему диску зараженной машины, а также сканируют PDF и ZIP-файлы на доступных сетевых дисках и съемных накопителях.
Все найденные файлы сбрасываются в «предварительную» папку, шифруются алгоритмом RC4 и архивируются с помощью WinRAR (инсталлятор для него Ramsay «приносит с собой»). Из этого архива генерируется контейнер, где к сжатым файлам добавляются идентификационные значения и накладывается еще один слой шифрования.
Этот архив затем добавляется к произвольному файлу Microsoft Word с расширением .doc из числа найденных на дисках. Сами файлы при этом сохраняют целостность данных — их основное содержание можно читать и редактировать без всяких проблем.
Доставка по назначениюПоскольку одно из основных назначений Ramsay — работать в изолированных системах, стандартный для вредоносов-шпионов метод прямого обмена данными с контрольным сервером через сеть тут не срабатывает. Однако, как выяснили эксперты, локальная копия Ramsay на изолированной системе целенаправленно ищет в системе и на съемных приводах файлы Word, которые содержат инструкции. То есть, по-видимому, сперва производится компрометация компьютерной системы, которой пользуется человек, имеющий также доступ к изолированным машинам, и использующий съемные носители для обмена данными с ними.
Экспертам ESET, впрочем, не удалось пока найти сам компонент или компоненты, которыеотвечают за получение с удаленных ресурсов команд для локальных копий Ramsay в изолированных системах и производят загрузку украденных данных.
«В принципе, это единственный способ выводить данные из изолированных систем — использовать вредоносную программу, незаметно загружающую интересующие ее создателей данные на съемное устройство, которое затем будет подключено к машине с интернет-доступом, — считает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. — Разработчикам такого вредоноса остается только удостовериться, что деятельность программы будет максимально незаметной, а перемещение файлов не вызовет ни у кого подозрений. Уже сейчас Ramsay вполне, судя по всему, справляется с этими задачами. Более новые версии могут оказаться еще более скрытными».
Возможная связь с DarkHotel... и советской разведкойПроисхождение Ramsay пока остается загадкой. С одной стороны, есть косвенные признаки, связывающие Ramsay с бэкдором Retro, которым пользовалась корейская APT-группировка DarkHotel: оба вредоноса используют один и тот же API для генерации уникального идентификатора для заражённых машин, и один и тот же алгоритм для его шифрования.
Плюс оба вредоноса формируют логи с одинаковой номенклатурой и используют одни и те же инструменты с открытым кодом для повышения привилегий и установки некоторых своих компонентов. Кроме того, во вредоносных документах присутствуют языковые метаданные в виде корейского слова, означающего «заголовок». Но этого недостаточно, чтобы однозначно проассоциировать Ramsay с DarkHotel, считают в ESET.
Само название встретилось в двоичном коде вредоноса. И хотя первая возникающая сегодня ассоциация — это Рамси Болтон (Ramsay Bolton), персонаж «Игры престолов», скорее всего, подразумевалось «Рамзай», кодовое имя советского разведчика Рихарда Зорге, работавшего в Японии во время Второй мировой войны и там же погибшего.
Тем более, что первый вариант вредоноса, который удалось обнаружить специалистам ESET, был загружен на VirusTotal как раз из Японии.