사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 램지(Ramsay)라고 불리는 이전에 보고되지 않은 사이버 스파이 활동을 발견했다고 밝혔습니다. 이 프레임 워크는 인터넷이나 다른 온라인 시스템에 연결되지 않은 에어-갭 시스템에서 민감한 문서를 수집하고 추출하기 위해 만들어졌습니다. 현재까지 피해자의 수가 매우 적으므로 ESET은 이 프레임워크가 개발 진행 중인 것으로 판단합니다.
ESET 몬트리올의 연구팀 책임자인 Alexis Dorais-Joncas는,
“일본에서 업로드한 VirusTotal 샘플에서 램지의 예를 처음 발견했는데, 이 샘플은 더 많은 구성 요소와 프레임워크의 다른 버전을 발견하게 했고, 그 프레임워크는 아직 개발 단계에 있으며, 전파 매개체는 정밀 테스트 대상이 되고 있습니다.”
ESET 연구 결과에 따르면 Ramsay는 발견된 프레임워크의 서로 다른 인스턴스를 기반으로 여러 반복 작업을 거쳤으며, 이는 그 기능의 수와 복잡성에 대한 선형적 진행을 나타냅니다. 감염 매개를 담당하는 개발자들은 2017 년부터 Microsoft Word 취약성에 대한 이전 공격 방식을 사용하고 잠재적으로 스피어 피싱(spear-phishing)을 통해 트로이목마화 된 애플리케이션을 배포하는 등 다양한 접근 방식을 시도하는 것으로 보입니다. 발견된 Ramsay의 세 가지 버전은 복잡성과 정교함에서 차이가 있으며, 특히 회피와 지속성 측면에서 최신 세 번째 버전이 가장 진보된 버전입니다.
Ramsay의 아키텍처는 로깅 메커니즘을 통해 관리되는 일련의 기능을 제공합니다.
파일 수집 및 은밀한 저장: 이 프레임워크의 주요 목표는 대상의 파일 시스템 내에서 기존의 모든
Microsoft Word 문서를 수집하는 것입니다.
명령 실행: Ramsay의 제어 프로토콜은 제어 문서에서 명령을 찾고 검색하는 분산된 방법을 구현합니다.
확산 : Ramsay는 에어-갭 네트워크 내에서 작동하도록 설계된 구성 요소를 내장하고 있습니다.
Dorais-Joncas는,
“특히 주목할만한 점은 Ramsay의 아키텍쳐 디자인, 특히 확산과 제어 기능 간의 관계가 어떻게 인터넷 연결이 없는 네트워크인 에어-갭 네트워크에서 작동할 수 있는지에 대한 것입니다.”
라고 덧붙였습니다.
Ramsay에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 Ramsay: A cyber espionage toolkit tailored for air-gapped networks을 참고하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
ESET(이셋), 맬웨어가 공식 Android 앱스토어에 진입하기 위해 사용하는 새로운 트릭 탐지 (0) | 2020.06.05 |
---|---|
ESET(이셋), 중앙아시아에서 주요 표적을 공격하는 백도어 스파이 Mikroceen발견 (0) | 2020.05.20 |
ESET(이셋), 코로나19 전염을 악용하는 Grandoreiro 트로이목마 주의 권고 (0) | 2020.04.30 |
ESET(이셋), 암호화 봇넷 VictoryGate 교란 (0) | 2020.04.29 |
ESET(이셋), 코로나19(COVID-19)에 대한 두려움을 악용하는 사기꾼의 맬웨어 전파에 주의 권고 (0) | 2020.04.08 |