Infekční řetězec začíná škodlivým souborem LNK (zástupce Windows), který spouští PowerShell příkaz. Skript prohledává adresář podle velikosti souboru, aby sám sebe lokalizoval, a poté extrahuje několik vložených částí: návnadový dokument (často tematicky související s aktuálními geopolitickými událostmi), spustitelný payload, další PowerShell skript a dávkový soubor.

Dávkový skript spouští PowerShell, který dešifruje a načítá shellcode přímo do paměti, což minimalizuje stopy na disku. Primární payload s názvem RESTLEAF je spuštěn v paměti a používá Zoho WorkDrive pro komunikaci s řídícím serverem. Jde o první zaznamenaný případ, kdy tato skupina zneužila tuto cloudovou úložnou službu.

Po úspěšné autentizaci pomocí platného přístupového tokenu RESTLEAF stahuje další shellcode, který je následně proveden pomocí process injection. To vede k nasazení SNAKEDROPPER, který instaluje Ruby runtime, nastavuje perzistenci pomocí naplánované úlohy a vypouští další komponenty THUMBSBD a VIRUSTASK.

THUMBSBD představuje technicky nejpozoruhodnější součást kampaně. Tento backdoor transformuje běžná vyměnitelná média (USB disky) na skrytý obousměrný komunikační kanál mezi systémy připojenými k internetu a izolovanými počítači.

Když je USB disk připojen k infikovanému počítači s přístupem k internetu, THUMBSBD kopíruje připravené soubory příkazů do skrytého adresáře $RECYCLE.BIN na disku. Pokud je stejný disk následně připojen k air-gapped systému, malware spustí tyto příkazy a uloží výsledky zpět na disk do skrytého adresáře. Když je disk opět připojen k systému s internetem, THUMBSBD načte výsledky a exfiltruje je přes cloudové služby.

VIRUSTASK funguje podobně jako THUMBSBD, ale zaměřuje se výhradně na šíření malwaru přes vyměnitelná média k dosažení prvotního přístupu na air-gapped systémy. Na rozdíl od THUMBSBD, který zpracovává provádění příkazů a exfiltraci, VIRUSTASK se soustředí na weaponizaci vyměnitelných médií.

Kampaň také využívá dříve dokumentovaný backdoor BLUELIGHT, který může používat více legitimních cloudových poskytovatelů pro řízení, včetně Google Drive, Microsoft OneDrive, pCloud a Backblaze. Malware umožňuje spouštět libovolné příkazy, procházet souborový systém, stahovat další payloady, nahrávat soubory a odstranit sám sebe.

Významnou inovací kampaně Ruby Jumper je využití „přenosného runtime prostředí". Kampaň zahrnuje víceúrovňový infekční řetězec s malwarem LNK a využívá legitimní cloudové služby jako Zoho WorkDrive, Google Drive a Microsoft OneDrive k nasazení samostatného Ruby runtime prostředí. Kritickými komponentami pro překonání air-gap jsou THUMBSBD a VIRUSTASK, které využívají vyměnitelná média k obejití síťové izolace a infikování air-gapped systémů.

Pro organizace provozující air-gapped nebo občas připojené enklávy (OT sítě, laboratorní prostředí, klasifikované nebo citlivé výzkumné sítě, regulované produkční sítě) představuje tato kampaň vážné riziko, zejména pokud rutinně využívají vyměnitelná média pro přenos dat, aktualizace nebo údržbové pracovní postupy.

Výzkumníci doporučují několik ochranných opatření. Organizace by měly auditovat podnikové využití Zoho WorkDrive a dalších poskytovatelů cloudového úložiště. Tam, kde použití není obchodně odůvodněné, zvážit omezení přístupu a upozornění na neočekávané toky API tokenů.

Pro schválené cloudové poskytovatele (např. Microsoft OneDrive) se doporučuje zaměřit se na telemetrii koncových bodů a proces lineage místo blokování na základě cíle, vzhledem k využití legitimních služeb pro řízení.

Je třeba kontrolovat soubory LNK v e-mailových přílohách a staženém obsahu, protože ScarCruft konzistentně používá škodlivé zkratkové soubory jako první bod vstupu. Organizace by měly hledat indikátory kompromitace, včetně cest souborů %PROGRAMDATA%\usbspeed, registračního klíče HKCU\SOFTWARE\Microsoft\TnGtp a skrytých adresářů $RECYCLE.BIN nebo $RECYCLE.BIN.USER na vyměnitelných discích.

Pravděpodobný budoucí vývoj zahrnuje širší opětovné použití přístupů „přenosného runtime" (samostatné interpretery instalované na disk ke snížení závislosti na cílových konfiguracích) a pokračující expanzi zneužívání cloudového úložiště jak pro maskování, tak pro operační odolnost.

Komponenty pro přemostění air-gap v Ruby Jumper naznačují, že ScarCruft nadále investuje do postupů přizpůsobených cílům s vysokou hodnotou, kde se očekává, že segmentace bude bránit sběrným operacím.

Incident zdůrazňuje, že fyzická izolace sítí již není dostatečnou ochranou proti pokročilým státem sponzorovaným útočníkům. Organizace musí implementovat vícevrstvou bezpečnostní strategii, která zahrnuje monitorování neobvyklé PowerShell aktivity, zejména pocházející ze souborů LNK, auditování přístupu ke cloudovým úložným službám a jejich omezení v citlivých prostředích, a kontrolu použití vyměnitelných médií.

The Hacker News

Zscaler ThreatLabz

Cybersecurity News