Le malware Ramsay cible les réseaux isolés (ou air gap)

Un logiciel malveillant nommé Ramsay a été découvert. Ce logiciel malveillant semble être capable de collecter et d’exfiltrer des documents sensibles à partir de réseaux à espace restreint (ou air-gap).

L’Air Gap/l’Air Gapping est le fait d’isoler un ou plusieurs appareil(s) d’un réseau. Et cette technique ne date pas d’hier, puisqu’elle était utilisée avant internet. Ainsi, les ordinateurs sont complètement isolés, rendu indépendants, et n’ont plus aucune connexion au réseau informatique. Par conséquent, enfin c’est l’idée de base, l’appareil est supposé impénétrable et les données qu’il renferme sont entièrement sécurisées.

Le malware, surnommé Ramsay, est toujours en cours de développement, les chercheurs ont trouvé trois échantillons différents, chaque échantillon ajoutant de nouvelles fonctionnalités. Cependant, le ciblage de Ramsay sur les réseaux restreints en fait une menace redoutable, selon les chercheurs.

“Certaines étapes du framework de Ramsay sont toujours en cours d’évaluation, ce qui pourrait expliquer le faible nombre de victimes, en prenant en compte que les cibles de Ramsay peuvent se trouver sous des réseaux restreints, cela pourrait également avoir un impact sur la détection des victimes”, ont déclaré des chercheurs d’ESET.

Les chercheurs ont initialement trouvé une instance de Ramsay dans VirusTotal, dans un échantillon envoyé depuis le Japon. Les données de temps des composants du logiciel malveillant impliquent que son framework est en cours de développement depuis fin 2019. Le logiciel malveillant partage de nombreuses similarités avec Retro, un logiciel malveillant associé à DarkHotel, un groupe APT notoire connu pour avoir mené plusieurs opérations de cyberespionnage qui ont ciblé des entités gouvernementales en Chine et au Japon depuis au moins 2004.

Infection de Ramsay

Les échantillons de Ramsay découverts par les chercheurs ont été exploités dans des attaques réelles utilisant plusieurs vecteurs d’attaque. L’un d’eux utilise des documents RTF malveillants, tandis qu’un autre était un binaire se faisant passer pour un programme d’installation 7zip. Une fois ouverts, ceux-ci tentent d’exploiter une vulnérabilité d’exécution de code à distance dans le système (CVE-2017-0199), qui est causé par la façon dont Microsoft Office et WordPad analysent les fichiers.

ramsay

Un programme d’installation (lmsch.exe) est ensuite exécuté (les versions antérieures utilisaient à la place un agent, netwiz.exe) qui déploie ensuite divers modules permettant diverses fonctionnalités.

Ces modules exécutent un grand nombre des capacités principales du malware. Ils rassemblent tous les documents Microsoft Word existants (et dans les versions plus récentes, les fichiers PDF et les archives .ZIP) dans les systèmes de fichiers cibles, permettent une élévation de privilèges (via les instances UACMe). Les modules collectent aussi des captures d’écran et recherchent les partages réseau et les lecteurs amovibles que le malware utilise ensuite pour son mécanisme de propagation.

Les versions ultérieures de Ramsay intégraient un diffuseur de rootkits. Ce propagateur agit comme un mécanisme d’infection de fichiers et modifie la structure des fichiers exécutables portables (PE) bénins pour intégrer des artefacts de Ramsay. Ceux-ci sont ensuite déclenchés lors de l’exécution du fichier hôte.

“Le propagateur est très agressif dans son mécanisme de propagation, et tous les exécutables PE résidant dans les lecteurs ciblés seraient candidats à l’infection”, ont déclaré les chercheurs. «Cela établit la relation entre les capacités de propagation et de contrôle de Ramsay montrant comment les opérateurs de Ramsay exploitent le framework pour le mouvement latéral, indiquant la probabilité que ce framework a été conçu pour fonctionner dans des réseaux à espace restreint.»

Autres fonctionnalités de Ramsay

Ramsay implémente également plusieurs méthodes de persistance, notamment la définition d’une tâche planifiée pour persister après le redémarrage et l’exécution de composants en tant que dépendances de service.

Cependant, la méthode de persistance la plus notable est ce que les chercheurs appellent «détournement de DLL fantôme(ou DLL Phantom Hijacking)». Cette méthode abuse du fait que de nombreuses applications Windows utilisent des dépendances obsolètes qui ne sont pas strictement nécessaires pour la fonctionnalité de l’application elle-même – permettant aux attaquants de tirer parti des versions malveillantes de ces dépendances.

«Cette technique de persistance est très polyvalente, permettant aux agents Ramsay livrés sous forme de DLL de fragmenter leur logique en sections séparées, mettant en œuvre différentes fonctionnalités adaptées aux processus sujets où l’agent sera chargé», ont déclaré les chercheurs. “De plus, l’utilisation de cette technique rend la détection plus difficile, car le chargement de ces DLL dans leurs processus/services respectifs ne déclenchera pas nécessairement une alerte.”

ramsay

Les chercheurs ont également noté que, contrairement à la plupart des logiciels malveillants conventionnels, Ramsay ne dispose pas d’un protocole de communication basé sur le réseau de commande et de contrôle (C2) et ne tente pas de se connecter à un hôte distant à des fins de communication: «L’exfiltration de ces artefacts est effectuée via un composant externe que nous n’avons pas pu récupérer », ont-ils révélé.

Les chercheurs ont déclaré que Ramsay continue d’être en développement actif, en particulier dans son scan de machines vulnérables à divers exploits. Les versions plus récentes de la boîte à outils, par exemple, analyses les machines du sous-réseau de l’hôte compromis qui sont sensibles à la vulnérabilité EternalBlue.

«Les développeurs en charge des vecteurs d’attaque semblent essayer diverses approches, telles que des anciens exploits pour des vulnérabilités de Word datant de 2017, ainsi que le déploiement d’applications de cheval de Troie potentiellement distribuées en utilisant le spear-phishing», ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.