详细内容或原文请订阅后点击阅览
APT37 结合云存储和 USB 植入来渗透气隙系统
与朝鲜有关的 APT 37 在 Ruby Jumper 活动中使用 Zoho WorkDrive 和 USB 恶意软件破坏了气隙网络。朝鲜组织 ScarCruft(又名 APT37、Reaper 和 Group123)在名为 Ruby Jumper 的活动中部署了新工具,使用后门利用 Zoho WorkDrive for C2 和基于 USB 的植入来破坏气隙系统。 Zscaler ThreatLabz [...]
来源:Security Affairs _恶意软件APT37 结合云存储和 USB 植入来渗透气隙系统
与朝鲜有关的 APT 37 在 Ruby Jumper 活动中使用 Zoho WorkDrive 和 USB 恶意软件破坏了气隙网络。
朝鲜组织 ScarCruft(又名 APT37、Reaper 和 Group123)在名为 Ruby Jumper 的活动中部署了新工具,使用利用 Zoho WorkDrive for C2 的后门和基于 USB 的植入来破坏气隙系统。 Zscaler ThreatLabz 于 2025 年 12 月发现了该活动;这些攻击依赖多个恶意软件系列来进行监视并提供额外的有效负载。
最近的攻击从恶意 LNK 文件开始,并部署了多个新发现的工具,包括 RESTLEAF 和 SNAKEDROPPER,以提供 FOOTWINE 和 BLUELIGHT 等后门进行监视。
Zscaler ThreatLabz 绘制了朝鲜 APT37 使用的完整“Ruby Jumper”攻击链。该活动从运行 PowerShell 的恶意 LNK 文件开始,并提取隐藏的有效负载,最终在内存中加载一个名为 RESTLEAF 的后门。 RESTLEAF 滥用 Zoho WorkDrive 进行命令和控制,使用硬编码令牌进行身份验证并下载 shellcode 以通过进程注入执行。
shellcode 部署 SNAKEDROPPER,它会安装伪装成 USB 实用程序的流氓 Ruby 运行时、建立持久性并删除其他组件。其中包括 THUMBSBD,这是一个旨在使用可移动介质桥接气隙网络的后门。它收集系统数据、暂存文件以进行渗透,并使用 USB 驱动器上的隐藏文件夹在隔离系统之间传递命令和窃取的数据。
VIRUSTASK 通过用恶意快捷方式替换 USB 驱动器上的文件来进一步传播感染,当用户单击它们时就会感染新计算机。后期有效负载包括 FOOTWINE(一种具有键盘记录和音频/视频捕获功能的监视后门)和 BLUELIGHT(利用云服务进行隐蔽 C2 通信)。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon