Một nhà nghiên cứu về an ninh mạng tại ESET hôm nay đã công bố một phân tích về một phần mềm độc hại mới, một mẫu mà họ phát hiện trên công cụ quét phần mềm độc hại Virustotal và tin rằng tin tặc đứng sau nó có thể quan tâm đến một số máy tính có giá trị cao được bảo vệ sau các mạng bị chặn.
Được mệnh danh là ‘Ramsay, ‘phần mềm độc hại vẫn đang được phát triển với hai biến thể khác (v2.a và v2.b) được phát hiện trong tự nhiên và dường như chưa phải là một khung tấn công phức tạp dựa trên các chi tiết mà nhà nghiên cứu đã chia sẻ.
Tuy nhiên, trước khi đọc thêm bất cứ điều gì, điều quan trọng cần lưu ý là bản thân phần mềm độc hại không tận dụng bất kỳ kỹ thuật phi thường hoặc tiên tiến nào có thể cho phép kẻ tấn công nhảy các mạng bị chặn không khí để xâm nhập hoặc làm mất dữ liệu từ các máy tính được nhắm mục tiêu.
Theo nhà nghiên cứu, Ramsay xâm nhập vào các máy tính mục tiêu thông qua các tài liệu độc hại, có khả năng được gửi qua email lừa đảo hoặc đánh rơi bằng ổ USB, sau đó khai thác lỗ hổng thực thi mã cũ trong Microsoft Office để giữ hệ thống.
‘Một số phiên bản của các tài liệu độc hại tương tự đã được tìm thấy được tải lên các công cụ hộp cát công cộng, được gắn nhãn là các tạo phẩm thử nghiệm như access_test.docx hoặc Test.docx biểu thị một nỗ lực liên tục để thử nghiệm vectơ tấn công cụ thể này’, nhà nghiên cứu cho biết.
Phần mềm độc hại Ramsay chủ yếu bao gồm hai chức năng chính:
- Thu thập tất cả các tài liệu Word, PDF và lưu trữ ZIP hiện có trong hệ thống tệp của mục tiêu và lưu trữ chúng đến một vị trí được xác định trước trên cùng hệ thống hoặc trực tiếp vào mạng hoặc ổ đĩa di động.
- Tự lây lan sang các máy tính khác đang được sử dụng trong cùng một cơ sở biệt lập bằng cách lây nhiễm tất cả các tệp thực thi có sẵn trên mạng chia sẻ và ổ đĩa di động.
Theo nhà nghiên cứu, các mẫu Ramsay mà họ tìm thấy không có giao thức truyền thông C & C dựa trên mạng, cũng không có bất kỳ nỗ lực nào để kết nối với máy chủ từ xa cho mục đích liên lạc.
Bây giờ câu hỏi được đặt ra, làm thế nào những kẻ tấn công có nghĩa vụ phải lọc dữ liệu từ một hệ thống bị xâm nhập.
Thành thật mà nói, hiện tại không có câu trả lời rõ ràng cho vấn đề này, nhưng nhà nghiên cứu suy đoán rằng phần mềm độc hại có thể đã được ‘điều chỉnh cho các mạng bị chặn’ với các kịch bản tương tự mà xem xét rằng lựa chọn duy nhất còn lại là truy cập vật lý vào máy và lấy cắp dữ liệu được thu thập với một USB vũ khí hóa.
‘Điều quan trọng cần lưu ý là có một mối tương quan giữa các ổ đĩa đích Ramsay quét để truyền bá và thu hồi tài liệu điều khiển’, nhà nghiên cứu ESET cho biết.
“Điều này đánh giá mối quan hệ giữa khả năng lan truyền và kiểm soát của Ramsay cho thấy cách các nhà khai thác của Ramsay tận dụng khuôn khổ cho chuyển động bên, biểu thị khả năng khung này đã được thiết kế để hoạt động trong các mạng bị chặn không khí. ‘
‘Tầm nhìn hiện tại của các mục tiêu còn thấp; dựa trên đo từ xa của ESET, cho đến nay, rất ít nạn nhân đã được phát hiện. Chúng tôi tin rằng sự khan hiếm nạn nhân này củng cố giả thuyết rằng khung này đang trong quá trình phát triển đang diễn ra, mặc dù tầm nhìn thấp của nạn nhân cũng có thể là do bản chất của các hệ thống nhắm mục tiêu nằm trong các mạng bị chặn không khí ‘, ông nói thêm.
Tuy nhiên, việc thiếu bằng chứng kỹ thuật và thống kê chưa hỗ trợ lý thuyết này và vẫn là một phỏng đoán rộng.
Hơn nữa, vì phần mềm độc hại vẫn đang được phát triển, nên còn quá sớm để quyết định xem phần mềm độc hại có chỉ được thiết kế để nhắm mục tiêu vào các mạng bị chặn không khí hay không.
Có khả năng các phiên bản tương lai của phần mềm độc hại có thể có ý nghĩa kết nối với máy chủ do kẻ tấn công kiểm soát từ xa để nhận lệnh và lọc dữ liệu.
Chúng tôi đã liên hệ với nhà nghiên cứu ESET để hiểu rõ hơn về yêu cầu ‘khoảng cách không khí’ và sẽ cập nhật câu chuyện này sau khi anh ta trả lời.
