ZURÜCK ZU NACHRICHTEN
Eilmeldung

ScarCruft-APT setzt Zoho WorkDrive-Backdoor und USB-Malware für Air-Gap-Angriffe ein

3 Min. LesezeitQuelle: The Hacker News

Nordkoreanische APT-Gruppe ScarCruft nutzt Zoho WorkDrive und USB-Malware, um isolierte Netzwerke zu infiltrieren. Erfahren Sie, wie die Ruby-Jumper-Kampagne funktioniert und wie Sie sich schützen können.

Nordkoreanische APT-Gruppe ScarCruft zielt mit neuer Malware auf Air-Gapped-Netzwerke

Sicherheitsforscher von Zscaler ThreatLabz haben eine neue Cyberspionage-Kampagne der nordkoreanischen Advanced Persistent Threat (APT)-Gruppe ScarCruft aufgedeckt. Die als Ruby Jumper bezeichnete Operation nutzt Zoho WorkDrive für Command-and-Control (C2)-Kommunikation und USB-basierte Malware, um Air-Gapped-Netzwerke zu infiltrieren. Die Kampagne zeigt die sich weiterentwickelnden Taktiken der Gruppe, um herkömmliche Sicherheitsmaßnahmen zu umgehen.

Technische Details des Angriffs

Die Ruby-Jumper-Kampagne setzt auf zwei Hauptkomponenten der Malware:

  1. Zoho WorkDrive-Backdoor

    • Eine maßgeschneiderte Backdoor, die den Cloud-Speicherdienst Zoho WorkDrive für C2-Kommunikation missbraucht.
    • Die Malware lädt zusätzliche Payloads herunter, indem sie Daten von und zu dem kompromittierten WorkDrive-Konto exfiltriert.
    • Diese Technik ermöglicht es Angreifern, die Erkennung zu umgehen, indem sie schädlichen Datenverkehr mit legitimer Cloud-Nutzung verschleiert.

  2. USB-basiertes Implantat

    • Eine sekundäre Malware-Variante, die sich über Wechseldatenträger (USB-Laufwerke) verbreitet.
    • Sobald das Implantat in ein Air-Gapped-System eingeschleust wird, führt es vordefinierte Befehle aus und exfiltriert Daten zurück zur Angreifer-Infrastruktur.
    • Diese Methode ermöglicht laterale Bewegung und Datendiebstahl in Umgebungen, in denen direkter Internetzugang eingeschränkt ist.

Die Analyse von Zscaler deutet darauf hin, dass ScarCruft sein Toolset kontinuierlich verfeinert, wahrscheinlich als Reaktion auf die verstärkte Überwachung früherer Angriffsmethoden.

Auswirkungen und Zuordnung

ScarCruft, auch bekannt als APT37 oder Reaper, ist eine vom nordkoreanischen Staat unterstützte Bedrohungsgruppe mit einer Geschichte von Angriffen auf Regierungs-, Verteidigungs- und kritische Infrastrukturbereiche. Der Einsatz von Zoho WorkDrive und USB-Malware deutet auf eine Verlagerung hin zu Living-off-the-Land (LotL)-Techniken und Angriffen über physische Medien, um netzwerkbasierte Abwehrmechanismen zu umgehen.

Der Fokus der Kampagne auf Air-Gapped-Netzwerke – die häufig in Hochsicherheitsumgebungen wie Militär- und Nukleareinrichtungen eingesetzt werden – wirft Bedenken hinsichtlich möglicher Spionage und Datenexfiltration auf.

Empfehlungen zur Abwehr

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um ähnliche Angriffe zu erkennen und zu verhindern:

  • Überwachung der Cloud-Nutzung: Überprüfen und beschränken Sie den Zugriff auf Zoho WorkDrive und andere Cloud-Speicherplattformen, insbesondere bei ungewöhnlichen Datenübertragungsmustern.
  • Kontrolle von USB-Geräten: Setzen Sie strikte Richtlinien für die Nutzung von Wechseldatenträgern durch, einschließlich Whitelisting zugelassener Geräte und Scannen auf schädliche Payloads.
  • Netzwerksegmentierung: Isolieren Sie Air-Gapped-Systeme von weniger sicheren Netzwerken, um laterale Bewegungen einzuschränken.
  • Endpoint Detection and Response (EDR): Setzen Sie fortschrittliche EDR-Lösungen ein, um anomalen Datenverkehr, wie unautorisierte C2-Kommunikation, zu erkennen.
  • Threat Intelligence Sharing: Bleiben Sie über die TTPs (Tactics, Techniques, and Procedures) von ScarCruft durch Threat-Intelligence-Feeds auf dem Laufenden.

Zscaler ThreatLabz hat keine spezifischen Opferdetails offengelegt, betont jedoch die Notwendigkeit erhöhter Wachsamkeit gegenüber nordkoreanischen APT-Bedrohungen, die auf sensible Infrastruktur abzielen.

Für eine detaillierte technische Analyse verweisen wir auf den vollständigen Bericht von Zscaler zur Ruby-Jumper-Kampagne.

Teilen

TwitterLinkedIn