Северокорейские хакеры развертывают недавно обнаруженные инструменты для перемещения данных между системами, подключенными к интернету, и изолированными (air-gapped) системами, распространяя вредоносное ПО через съемные носители и осуществляя скрытое наблюдение.
Вредоносная кампания получила название Ruby Jumper и приписывается спонсируемой государством группе APT37, также известной как ScarCruft, Ricochet Chollima и InkySquid.
Компьютеры с физической изоляцией (air-gapped) отключены от внешних сетей, особенно от публичного интернета. Физическая изоляция достигается на аппаратном уровне путем удаления всех средств связи (Wi-Fi, Bluetooth, Ethernet), в то время как логическая сегментация зависит от различных программно-определяемых средств управления, таких как VLAN и брандмауэры.
В среде с физической изоляцией, типичной для критической инфраструктуры, военных и исследовательских секторов, передача данных осуществляется через съемные накопители.
Исследователи из компании по облачной безопасности Zscaler проанализировали вредоносное ПО, используемое в кампании APT37 Ruby Jumper, и выявили набор из пяти вредоносных инструментов: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK и FOOTWINE.
Преодоление воздушного зазора
Цепочка заражения начинается, когда жертва открывает вредоносный ярлык Windows (LNK), который развертывает скрипт PowerShell, извлекающий полезные нагрузки, внедренные в файл LNK. Чтобы отвлечь внимание, скрипт также запускает документ-приманку.
Хотя исследователи не назвали конкретных жертв, они отмечают, что документ представляет собой арабский перевод статьи северокорейской газеты о палестино-израильском конфликте.
Скрипт PowerShell загружает первый компонент вредоносного ПО под названием RESTLEAF — имплантат, который взаимодействует с инфраструктурой командно-контрольных центров (C2) APT37, используя Zoho WorkDrive.
RESTLEAF получает зашифрованный шелл-код из C2 для загрузки полезной нагрузки следующего этапа — загрузчика на Ruby под названием SNAKEDROPPER.
Атака продолжается установкой среды выполнения Ruby 3.3.0 — включая интерпретатор, стандартные библиотеки и инфраструктуру gem — замаскированной под легитимную утилиту, связанную с USB, под названием usbspeed.exe.
“SNAKEDROPPER готов к выполнению путем замены стандартного файла RubyGems operating_system.rb вредоносно модифицированной версией, которая автоматически загружается при запуске интерпретатора Ruby”, — через запланированную задачу (rubyupdatecheck), которая выполняется каждые пять минут, сообщают исследователи.
Бэкдор THUMBSBD загружается как файл Ruby с именем ascii.rb, а вредоносное ПО VIRUSTASK — как файл bundler_index_client.rb.
Роль THUMBSBD заключается в сборе системной информации, подготовке файлов команд и подготовке данных для эксфильтрации. Его самая важная функция — создание скрытых каталогов на обнаруженных USB-накопителях и копирование в них файлов.
По словам исследователей, вредоносное ПО превращает съемные устройства хранения “в двунаправленное скрытое реле C2”. Это позволяет злоумышленнику доставлять команды в изолированные системы, а также извлекать из них данные.
«Используя съемные носители в качестве промежуточного транспортного уровня, вредоносное ПО соединяет сегменты сети, которые в противном случае были бы изолированы», — заявляют исследователи Zscaler исследователи.
Роль VIRUSTASK заключается в распространении заражения на новые изолированные машины, превращая съемные диски в оружие путем сокрытия легитимных файлов и замены их вредоносными ярлыками, которые выполняют внедренный интерпретатор Ruby при открытии.
Модуль инициирует процесс заражения только в том случае, если на вставленном съемном носителе имеется не менее 2 ГБ свободного места.
Zscaler сообщает, что THUMBSBD также доставляет FOOTWINE — шпионский бэкдор для Windows, замаскированный под установочный файл Android (APK), который поддерживает кейлоггинг, захват скриншотов, аудио- и видеозапись, манипулирование файлами, доступ к реестру и удаленные команды оболочки.
Еще один образец вредоносного ПО, замеченный в кампании RubyJumper APT37, — это BLUELIGHT — полноценный бэкдор, ранее связанный с северокорейской группой угроз.
Zscaler с высокой степенью уверенности приписывает кампанию RubyJumper группе APT37 на основании нескольких индикаторов, включая использование вредоносного ПО BLUELIGHT, начальный вектор, основанный на файлах LNK, двухэтапную технику доставки шелл-кода и инфраструктуру C2, обычно наблюдаемую в атаках этой группы.
Исследователи также отмечают, что документ-приманка указывает на то, что цель активности RubyJumper интересуется северокорейскими медиа-нарративами, что соответствует профилю жертв этой группы угроз.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
