Admin
Администратор
Группировка APT37, связанная с КНДР, разработала новый метод атак на изолированные сети. Эксперты Zscaler ThreatLabz обнаружили кампанию Ruby Jumper, в которой злоумышленники используют облачные сервисы и заражённые съёмные носители для проникновения в системы без доступа к интернету.
APT37, также известная как ScarCruft и Velvet Chollima, внедряет вредоносные LNK-файлы, которые запускают PowerShell для извлечения встроенных компонентов. Среди них — загрузчики, shellcode и приманка в виде статьи о конфликте между Палестиной и Израилем. В результате запускается имплант RESTLEAF, который использует Zoho WorkDrive для связи с управляющей инфраструктурой.
RESTLEAF создаёт файлы-маячки на облачном диске, сигнализируя о заражении. Затем активируется SNAKEDROPPER, который разворачивает среду Ruby 3.3.0, маскируя её под утилиту usbspeed.exe. Через эту среду запускаются модули THUMBSBD и VIRUSTASK. THUMBSBD собирает данные о системе и создаёт скрытую папку $RECYCLE.BIN на флеш-накопителях, превращая их в канал управления. VIRUSTASK распространяет вредоносный код внутри сети, подменяя файлы пользователя ярлыками. Позднее THUMBSBD доставляет бэкдор FOOTWINE, который поддерживает кейлоггинг, запись аудио и видео, а также выполнение команд. Кампания Ruby Jumper демонстрирует, что APT37 активно развивает инструменты для обхода сетевой изоляции, делая ставку на физические носители.
