VOLVER A NOTICIAS
Última Hora

ScarCruft APT Despliega Backdoor en Zoho WorkDrive y Malware USB para Ataques a Redes Aisladas

3 min de lecturaFuente: The Hacker News

Investigadores descubren una campaña de ciberespionaje del grupo norcoreano ScarCruft, que usa Zoho WorkDrive y malware USB para infiltrar redes air-gapped. Descubre cómo protegerte.

Grupo APT Norcoreano ScarCruft Ataca Redes Aisladas con Nuevas Herramientas de Malware

Investigadores de seguridad de Zscaler ThreatLabz han descubierto una nueva campaña de ciberespionaje del grupo de amenazas persistentes avanzadas (APT) norcoreano ScarCruft, que aprovecha Zoho WorkDrive para comunicaciones de comando y control (C2) y malware basado en USB para infiltrarse en redes air-gapped. La campaña, denominada Ruby Jumper, destaca la evolución de las tácticas del grupo para eludir las defensas de seguridad tradicionales.

Detalles Técnicos del Ataque

La campaña Ruby Jumper emplea dos componentes principales de malware:

  1. Backdoor en Zoho WorkDrive

    • Un backdoor personalizado que abusa del servicio de almacenamiento en la nube de Zoho WorkDrive para comunicaciones C2.
    • El malware recupera payloads adicionales exfiltrando datos hacia y desde la cuenta comprometida de WorkDrive.
    • Esta técnica permite a los atacantes evadir la detección al mezclar el tráfico malicioso con el uso legítimo del servicio en la nube.

  2. Implante Basado en USB

    • Una cepa secundaria de malware diseñada para propagarse a través de dispositivos USB removibles.
    • Una vez insertado en un sistema air-gapped, el implante ejecuta comandos predefinidos y exfiltra datos hacia la infraestructura controlada por el atacante.
    • Este método facilita el movimiento lateral y el robo de datos en entornos donde el acceso directo a Internet está restringido.

El análisis de Zscaler indica que ScarCruft continúa refinando su arsenal, probablemente en respuesta al mayor escrutinio de sus métodos de ataque anteriores.

Impacto y Atribución

ScarCruft, también conocido como APT37 o Reaper, es un grupo de amenazas patrocinado por el estado norcoreano con un historial de ataques a sectores gubernamentales, de defensa e infraestructuras críticas. El uso de Zoho WorkDrive y malware USB sugiere un cambio hacia técnicas de living-off-the-land (LotL) y ataques basados en medios físicos para evadir las defensas basadas en redes.

El enfoque de la campaña en redes air-gapped —comunes en entornos de alta seguridad como instalaciones militares y nucleares— plantea preocupaciones sobre posibles riesgos de espionaje y exfiltración de datos.

Recomendaciones para la Defensa

Los equipos de seguridad deben implementar las siguientes medidas de mitigación para detectar y prevenir ataques similares:

  • Monitoreo del Uso de Servicios en la Nube: Auditar y restringir el acceso a Zoho WorkDrive y otras plataformas de almacenamiento en la nube, especialmente para patrones inusuales de transferencia de datos.
  • Control de Dispositivos USB: Aplicar políticas estrictas sobre el uso de medios removibles, incluyendo la creación de listas blancas de dispositivos aprobados y el escaneo de payloads maliciosos.
  • Segmentación de Red: Aislar los sistemas air-gapped de redes menos seguras para limitar el movimiento lateral.
  • Detección y Respuesta en Endpoints (EDR): Implementar soluciones avanzadas de EDR para detectar comportamientos anómalos, como comunicaciones C2 no autorizadas.
  • Intercambio de Inteligencia de Amenazas: Mantenerse actualizado sobre los TTPs de ScarCruft (tácticas, técnicas y procedimientos) a través de feeds de inteligencia de amenazas.

Zscaler ThreatLabz no ha revelado detalles específicos sobre las víctimas, pero enfatiza la necesidad de aumentar la vigilancia contra las amenazas APT norcoreanas que apuntan a infraestructuras sensibles.

Para un análisis técnico más detallado, consulta el informe completo de Zscaler sobre la campaña Ruby Jumper.

Compartir

TwitterLinkedIn