關(guān)鍵詞

黑客

黑客組織正在使用一批新曝光的惡意工具，在聯(lián)網(wǎng)設(shè)備與物理隔離系統(tǒng)之間傳輸數(shù)據(jù)，通過(guò)可移動(dòng)存儲(chǔ)設(shè)備橫向擴(kuò)散，并實(shí)施隱秘監(jiān)控。

這場(chǎng)惡意攻擊活動(dòng)被命名為 Ruby Jumper，系黑客組織 APT37（又稱(chēng) ScarCruft、Ricochet Chollima、InkySquid）所主導(dǎo)。

物理隔離通過(guò)在硬件層面移除所有聯(lián)網(wǎng)模塊（Wi Fi、藍(lán)牙、以太網(wǎng)）實(shí)現(xiàn)；邏輯隔離則依托 VLAN、防火墻等軟件定義策略。在關(guān)鍵基礎(chǔ)設(shè)施、軍事及科研領(lǐng)域常見(jiàn)的物理隔離環(huán)境中，數(shù)據(jù)傳輸主要依靠可移動(dòng)存儲(chǔ)設(shè)備完成。

研究人員對(duì) APT37 Ruby Jumper 活動(dòng)中使用的惡意軟件進(jìn)行分析，識(shí)別出五款?lèi)阂夤ぞ邩?gòu)成的工具集：RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE。

突破物理隔離

攻擊鏈?zhǔn)加谑芎φ叽蜷_(kāi)惡意 Windows 快捷方式文件（LNK），該文件釋放 PowerShell 腳本，提取內(nèi)嵌在 LNK 中的載荷；為轉(zhuǎn)移注意力，腳本還會(huì)同時(shí)打開(kāi)一個(gè)誘餌文檔。研究人員未明確具體受害者，但指出該誘餌文檔是朝鮮某報(bào)紙一篇關(guān)于巴以沖突文章的阿拉伯語(yǔ)譯本。

該 PowerShell 腳本加載首個(gè)惡意組件 RESTLEAF，這是一款通過(guò) Zoho WorkDrive 與 APT37 命令與控制（C2）基礎(chǔ)設(shè)施通信的遠(yuǎn)控木馬。

研究人員從 C2 服務(wù)器獲取加密 Shellcode，以下載下一階段載荷——基于 Ruby 語(yǔ)言的加載器 SNAKEDROPPER。

攻擊繼續(xù)進(jìn)行：攻擊者安裝 Ruby 3.3.0 運(yùn)行環(huán)境（包含解釋器、標(biāo)準(zhǔn)庫(kù)與 Gem 組件），并將其偽裝成名為 usbspeed.exe 的合法 USB 相關(guān)工具。

SNAKEDROPPER 通過(guò)替換 RubyGems 默認(rèn)文件 operating_system.rb 為惡意修改版本，實(shí)現(xiàn)隨 Ruby 解釋器啟動(dòng)自動(dòng)加載，并通過(guò)名為 rubyupdatecheck 的計(jì)劃任務(wù)每 5 分鐘執(zhí)行一次。隨后，攻擊者下載 Ruby 文件 ascii.rb 形式的 THUMBSBD 后門(mén)，以及 bundler_index_client.rb 文件形式的 VIRUSTASK 惡意程序。

THUMBSBD 的主要功能是收集系統(tǒng)信息、存儲(chǔ)指令文件、準(zhǔn)備數(shù)據(jù)外發(fā)；其核心作用是在檢測(cè)到的 USB 驅(qū)動(dòng)器中創(chuàng)建隱藏目錄，并向其中復(fù)制文件。

研究人員稱(chēng)，該惡意軟件可將可移動(dòng)存儲(chǔ)設(shè)備變?yōu)殡p向隱秘命令與控制中繼，使威脅組織能夠向物理隔離設(shè)備下發(fā)指令，并從中竊取數(shù)據(jù)。

ThumbSBD 執(zhí)行流程

研究人員指出：" 通過(guò)將可移動(dòng)介質(zhì)作為中間傳輸層，該惡意軟件實(shí)現(xiàn)了對(duì)物理隔離網(wǎng)段的跨網(wǎng)滲透。"

VIRUSTASK 的作用是將感染擴(kuò)散到新的物理隔離設(shè)備：它會(huì)對(duì)可移動(dòng)驅(qū)動(dòng)器進(jìn)行武器化處理，隱藏合法文件并替換為惡意快捷方式，一旦打開(kāi)便執(zhí)行內(nèi)嵌的 Ruby 解釋器。

該模塊僅在插入的可移動(dòng)設(shè)備剩余空間不小于 2GB 時(shí)才會(huì)觸發(fā)感染流程。

Ruby Jumper 攻擊鏈概述

報(bào)告稱(chēng)，THUMBSBD 還會(huì)投遞 FOOTWINE ——一款偽裝成 Android 安裝包（APK）的 Windows 間諜后門(mén)，支持鍵盤(pán)記錄、屏幕截圖、音視頻錄制、文件操作、注冊(cè)表訪(fǎng)問(wèn)及遠(yuǎn)程 Shell 執(zhí)行。

研究人員在 APT37 Ruby Jumper 活動(dòng)中還觀(guān)察到另一款?lèi)阂廛浖?BLUELIGHT，這是此前已與該朝鮮黑客組織關(guān)聯(lián)的完整功能后門(mén)。

基于多項(xiàng)指標(biāo)，可高度確信 Ruby Jumper 活動(dòng)歸屬于 APT37，包括使用 BLUELIGHT 惡意軟件、以 LNK 文件為初始入口、兩階段 Shellcode 投遞方式，以及該組織慣用的 C2 基礎(chǔ)設(shè)施特征。

研究人員同時(shí)指出，誘餌文檔表明 Ruby Jumper 活動(dòng)的目標(biāo)對(duì)象關(guān)注朝鮮官方宣傳敘事，與該威脅組織的典型受害者畫(huà)像高度吻合。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！