Admin
Администратор
Северокорейская хакерская группа ScarCruft, также известная как APT37, использует новые инструменты для взлома изолированных систем. В рамках кампании Ruby Jumper злоумышленники применяют бэкдор, который взаимодействует с облачным сервисом Zoho WorkDrive, а также USB-имплант для проникновения в сети, не подключенные к интернету.
Кампания Ruby Jumper была обнаружена Zscaler ThreatLabz в декабре 2025 года. Атаки начинаются с вредоносных файлов LNK, которые запускают PowerShell и загружают скрытые полезные нагрузки. Основной бэкдор RESTLEAF использует Zoho WorkDrive для управления команд и контроля, а также загружает шеллкод для выполнения через инъекцию процессов.
Шеллкод развертывает SNAKEDROPPER, который устанавливает поддельную среду выполнения Ruby, маскирующуюся под USB-утилиту, и обеспечивает устойчивость системы. Одним из ключевых компонентов является THUMBSBD — бэкдор, предназначенный для работы с изолированными сетями через съемные носители. Он собирает системные данные, подготавливает файлы для передачи и использует скрытые папки на USB-накопителях для обмена командами и украденными данными. VIRUSTASK распространяет инфекцию, заменяя файлы на USB-накопителях вредоносными ярлыками. Поздние полезные нагрузки включают FOOTWINE, бэкдор для слежения с функциями кейлоггинга и захвата аудио/видео, а также BLUELIGHT, который использует облачные сервисы для скрытой связи. Эксперты уверенно связывают кампанию Ruby Jumper с APT37, основываясь на использовании характерных методов и инструментов. Группа ScarCruft активна с 2012 года и ранее атаковала правительственные, военные и медиаорганизации Южной Кореи.
