VOLTAR ÀS NOTÍCIAS
Última Hora

Grupo APT ScarCruft Usa Backdoor no Zoho WorkDrive e Malware USB para Ataques a Redes Isoladas

3 min de leituraFonte: The Hacker News

Pesquisadores descobrem campanha de ciberespionagem do grupo norte-coreano ScarCruft, que explora o Zoho WorkDrive e malware via USB para invadir redes air-gapped. Saiba como se proteger.

Grupo APT Norte-Coreano ScarCruft Mira Redes Air-Gapped com Novas Ferramentas de Malware

Pesquisadores da Zscaler ThreatLabz descobriram uma nova campanha de ciberespionagem conduzida pelo grupo de ameaças persistentes avançadas (APT) norte-coreano ScarCruft, que utiliza o Zoho WorkDrive para comunicações de comando e controle (C2) e malware via USB para infiltrar redes air-gapped. A campanha, rastreada como Ruby Jumper, destaca a evolução das táticas do grupo para contornar defesas de segurança tradicionais.

Detalhes Técnicos do Ataque

A campanha Ruby Jumper emprega dois componentes principais de malware:

  1. Backdoor no Zoho WorkDrive

    • Um backdoor personalizado que abusa do serviço de armazenamento em nuvem Zoho WorkDrive para comunicações C2.
    • O malware recupera payloads adicionais exfiltrando dados para e de uma conta comprometida do WorkDrive.
    • Essa técnica permite que os atacantes evitem detecção ao misturar tráfego malicioso com o uso legítimo de serviços em nuvem.

  2. Implante Baseado em USB

    • Uma segunda cepa de malware projetada para se propagar por meio de dispositivos USB removíveis.
    • Uma vez inserido em um sistema air-gapped, o implante executa comandos predefinidos e exfiltra dados de volta para a infraestrutura controlada pelo atacante.
    • Esse método possibilita o movimento lateral e o roubo de dados em ambientes onde o acesso direto à internet é restrito.

A análise da Zscaler indica que o ScarCruft continua refinando seu arsenal, provavelmente em resposta ao aumento do escrutínio sobre seus métodos de ataque anteriores.

Impacto e Atribuição

O ScarCruft, também conhecido como APT37 ou Reaper, é um grupo de ameaças patrocinado pelo Estado norte-coreano, com histórico de ataques a setores governamentais, de defesa e infraestrutura crítica. O uso do Zoho WorkDrive e do malware via USB sugere uma mudança em direção a técnicas de living-off-the-land (LotL) e ataques baseados em mídia física para evadir defesas baseadas em rede.

O foco da campanha em redes air-gapped — comuns em ambientes de alta segurança, como instalações militares e nucleares — levanta preocupações sobre possíveis riscos de espionagem e exfiltração de dados.

Recomendações para Defesa

As equipes de segurança devem implementar as seguintes mitigações para detectar e prevenir ataques similares:

  • Monitorar o Uso de Serviços em Nuvem: Auditar e restringir o acesso ao Zoho WorkDrive e outras plataformas de armazenamento em nuvem, especialmente para padrões incomuns de transferência de dados.
  • Controle de Dispositivos USB: Aplicar políticas rigorosas sobre o uso de mídias removíveis, incluindo a lista branca de dispositivos aprovados e a verificação de payloads maliciosos.
  • Segmentação de Rede: Isolar sistemas air-gapped de redes menos seguras para limitar o movimento lateral.
  • Detecção e Resposta em Endpoints (EDR): Implementar soluções avançadas de EDR para detectar comportamentos anômalos, como comunicações C2 não autorizadas.
  • Compartilhamento de Inteligência de Ameaças: Manter-se atualizado sobre as TTPs (táticas, técnicas e procedimentos) do ScarCruft por meio de feeds de inteligência de ameaças.

A Zscaler ThreatLabz não divulgou detalhes específicos sobre as vítimas, mas enfatiza a necessidade de maior vigilância contra ameaças APT norte-coreanas que miram infraestruturas sensíveis.

Para uma análise técnica completa, consulte o relatório completo da Zscaler sobre a campanha Ruby Jumper.

Compartilhar

TwitterLinkedIn