Шпионаж через… корзину? Хакеры из APT37 превратили $RECYCLE.BIN в канал связи с Пхеньяном
NewsMakerТам, где пользователи видят цифровой мусор, злоумышленники увидели скрытый туннель.
Группировка APT37, связанная с КНДР , расширила инструментарий для атак на изолированные сети. Команда Zscaler ThreatLabz выявила новую кампанию под названием Ruby Jumper, где злоумышленники объединили облачные сервисы и заражение съёмных носителей, чтобы добраться до систем без прямого выхода в интернет.
APT37, также известная как ScarCruft и Velvet Chollima, запустила цепочку заражения через вредоносные LNK-файлы. После открытия ярлыка PowerShell извлекает встроенные компоненты, среди которых приманка в виде статьи о конфликте между Палестиной и Израилем на арабском языке, а также загрузчики и shellcode. Финальным результатом первого этапа становится запуск импланта RESTLEAF.
RESTLEAF использует Zoho WorkDrive для связи с управляющей инфраструктурой. Вредонос получает токен доступа через встроенные учётные данные и загружает дополнительный код, который внедряет в легитимный системный процесс. После выполнения RESTLEAF создаёт на облачном диске специальные файлы-маячки, сигнализирующие о заражении.
Следующим этапом становится SNAKEDROPPER. Загрузчик разворачивает в каталоге ProgramData полноценную среду Ruby 3.3.0, маскируя интерпретатор под утилиту usbspeed.exe. Затем SNAKEDROPPER подменяет системный Ruby-файл operating_system.rb и добавляет задания в планировщик Windows, добиваясь регулярного запуска вредоносного кода каждые пять минут. Через эту среду активируются два ключевых модуля — THUMBSBD и VIRUSTASK.
Группировка APT37, связанная с КНДР , расширила инструментарий для атак на изолированные сети. Команда Zscaler ThreatLabz выявила новую кампанию под названием Ruby Jumper, где злоумышленники объединили облачные сервисы и заражение съёмных носителей, чтобы добраться до систем без прямого выхода в интернет.
APT37, также известная как ScarCruft и Velvet Chollima, запустила цепочку заражения через вредоносные LNK-файлы. После открытия ярлыка PowerShell извлекает встроенные компоненты, среди которых приманка в виде статьи о конфликте между Палестиной и Израилем на арабском языке, а также загрузчики и shellcode. Финальным результатом первого этапа становится запуск импланта RESTLEAF.
RESTLEAF использует Zoho WorkDrive для связи с управляющей инфраструктурой. Вредонос получает токен доступа через встроенные учётные данные и загружает дополнительный код, который внедряет в легитимный системный процесс. После выполнения RESTLEAF создаёт на облачном диске специальные файлы-маячки, сигнализирующие о заражении.
Следующим этапом становится SNAKEDROPPER. Загрузчик разворачивает в каталоге ProgramData полноценную среду Ruby 3.3.0, маскируя интерпретатор под утилиту usbspeed.exe. Затем SNAKEDROPPER подменяет системный Ruby-файл operating_system.rb и добавляет задания в планировщик Windows, добиваясь регулярного запуска вредоносного кода каждые пять минут. Через эту среду активируются два ключевых модуля — THUMBSBD и VIRUSTASK.