北朝鮮傘下のシンジケートAPT37は、エアギャップネットワークへの侵入に特化した兵器庫を拡充しています。Zscaler ThreatLabzの最先端チームは、Ruby Jumperと名付けられた新しいキャンペーンを明らかにしました。このキャンペーンでは、悪質な行為者がクラウドサービスの悪用と移動可能なメディアへの感染を組み合わせて、インターネット接続を持たない完全に隔離されたシステムに侵入しています。
ScarCruftおよびVelvet Chollimaなどの別名で活動するAPT37は、悪質なLNKファイルを介して感染カスケードを開始します。このショートカットが実行されると、PowerShellは埋め込まれたコンポーネントの配列を抽出します。このペイロードには、パレスチナ・イスラエル紛争の詳細を記したアラビア語のおとり記事、および隠蔽されたローダーとシェルコードが含まれています。この初期段階の最終段階はRESTLEAFインプラントの展開です。
RESTLEAFはZoho WorkDriveを活用してコマンドアンドコントロールインフラストラクチャとの通信を確立します。マルウェアはハードコードされた認証情報を通じてアクセストークンを確保し、その後、良性のシステムプロセスにシームレスに注入する補助的なコードをダウンロードします。実行時に、RESTLEAFはクラウドリポジトリ内に特殊化されたビーコンファイルを作成し、成功した侵害の隠蔽された信号として機能します。
次の段階はSNAKEDROPPERによって先導されます。このローダーはProgramDataディレクトリ内に包括的なRuby 3.3.0環境をインスタンス化し、インタープリターをusbspeed.exeユーティリティとして巧妙に偽装します。SNAKEDROPPERはその後、システムのRubyファイルであるoperating_system.rbを上書きし、Windowsタスクスケジューラにタスクを統合して、5分間隔での悪質なペイロードの継続的な実行を保証します。この偽造された環境を通じて、2つの重要なモジュール—THUMBSBDおよびVIRUSTASK—が起動されます。
THUMBSBDはデータの流出と、インターネット接続されたホストと隔離されたネットワークセグメント間のデータ交換を支配します。マルウェアは包括的なシステムテレメトリー、アクティブなプロセス、ネットワーク構成、およびファイルトポロジーを収集します。その後、初歩的なXOR暗号を使用してこの情報を暗号化し、指定された作業ディレクトリ内に保存します。USBフラッシュドライブが挿入されると、THUMBSBDは隠蔽された$RECYCLE.BINディレクトリを作成し、コマンドまたは流出したデータファイルをそこに移動させ、物理メディアを双方向のコマンド伝送路に実質的に変換します。
VIRUSTASKはエアギャップ全体での横方向の伝播を調整するために設計されています。このモジュールは移動可能なメディア上の利用可能な容量を調査し、隠蔽された$RECYCLE.BIN.USERディレクトリを生成し、被害者の合法的なファイルを同一の名前を持つ悪質なショートカットで不正に置き換えます。そのようなショートカットを実行すると、偽造されたRubyインタープリターがトリガーされ、ペイロードシェルコードをすぐに実行して、新たに露出したマシンを侵害します。
やがて、THUMBSBDはFOOTWINEバックドアを配信し、APK拡張子を持つファイルとして不正に偽装します。この強力なコンポーネントはキーストロークロギング、スクリーンキャプチャ機能、隠密なオーディオおよびビデオ記録、ならびに堅牢なリモートコマンド実行およびファイル操作機能を備えています。その通信を隠蔽するために、FOOTWINEは独自のXORベースの暗号化キー交換メカニズムを採用しています。この複雑な感染チェーンは、歴史的に文書化されたBLUELIGHTマルウェアも統合しており、Google Drive、Microsoft OneDrive、および無数のその他のクラウドエコシステムをコマンドアンドコントロール操作のために悪意を持って悪用しています。
Zscalerのアナリストは、Ruby Jumperキャンペーンを、特徴的な特性の一致に基づいてAPT37に起因するものとして分析しています。それは、署名的な2段階シェルコードローダーの展開、BLUELIGHTの利用、およびクラウドベースプラットフォームの積極的な悪用です。このキャンペーンは明らかに、北朝鮮のシンジケートがネットワーク分離を回避し、物理メディアを主権的かつ強力なリモートコマンドおよび制御のチャネルとして戦略的に活用するための洗練された兵器を意図的に育成していることを示しています。
