이셋코리아가 램지(Ramsay)라고 불리는 이전에 보고되지 않은 사이버 스파이 활동을 발견했다고 밝혔습니다.
이 프레임 워크는 인터넷이나 다른 온라인 시스템에 연결되지 않은 에어-갭 시스템에서 민감한 문서를 수집하고 추출하기 위해 만들어졌으며, 현재까지 피해자의 수가 매우 적으므로 ESET 측은 이 프레임워크가 개발 진행 중인 것으로 판단하고 있다.
ESET 몬트리올의 연구팀 책임자인 Alexis Dorais-Joncas는 “일본에서 업로드한 VirusTotal 샘플에서 램지의 예를 처음 발견했는데, 이 샘플은 더 많은 구성 요소와 프레임워크의 다른 버전을 발견하게 했고, 그 프레임워크는 아직 개발 단계에 있으며, 전파 매개체는 정밀 테스트 대상이 되고 있다”라고 말했다.
ESET 연구 결과에 따르면 Ramsay는 발견된 프레임워크의 서로 다른 인스턴스를 기반으로 여러 반복 작업을 거쳤으며, 이는 그 기능의 수와 복잡성에 대한 선형적 진행을 나타낸다. 감염 매개를 담당하는 개발자들은 2017년부터 Microsoft Word 취약성에 대한 이전 공격 방식을 사용하고 잠재적으로 스피어 피싱을 통해 트로이목마화 된 애플리케이션을 배포하는 등 다양한 접근 방식을 시도하는 것으로 보인다.
발견된 Ramsay의 세 가지 버전은 복잡성과 정교함에서 차이가 있으며, 특히 회피와 지속성 측면에서 최신 세 번째 버전이 가장 진보된 버전이다.
Ramsay의 아키텍처는 로깅 메커니즘을 통해 관리되는 일련의 기능을 제공한다.
◇파일 수집 및 은밀한 저장- 이 프레임워크의 주요 목표는 대상의 파일 시스템 내에서 기존의 모든 Microsoft Word 문서를 수집하는 것이다.
◇명령 실행- Ramsay의 제어 프로토콜은 제어 문서에서 명령을 찾고 검색하는 분산된 방법을 구현합니다.
◇확산- Ramsay는 에어-갭 네트워크 내에서 작동하도록 설계된 구성 요소를 내장하고 있다.
Dorais-Joncas는 “특히 주목할 만한 점은 Ramsay의 아키텍쳐 디자인, 특히 확산과 제어 기능 간의 관계가 어떻게 인터넷 연결이 없는 네트워크인 에어-갭 네트워크에서 작동할 수 있는지에 대한 것이다”라고 말했다.
한편 Ramsay에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 Ramsay: A cyber espionage toolkit tailored for air-gapped networks을 참고하면 된다.
★정보보안 대표 미디어 데일리시큐!
◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석대상: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
