НАЗАД К НОВОСТЯМ
Срочные новости

ScarCruft APT использует бэкдор Zoho WorkDrive и USB-вредонос для атак на изолированные сети

3 мин чтенияИсточник: The Hacker News

Северокорейская хакерская группа ScarCruft развернула новую кампанию кибершпионажа с использованием бэкдора Zoho WorkDrive и USB-вредоноса для проникновения в изолированные сети. Узнайте о тактиках и мерах защиты.

Северокорейская APT-группа ScarCruft атакует изолированные сети с помощью новых вредоносных инструментов

Исследователи безопасности из Zscaler ThreatLabz обнаружили новую кампанию кибершпионажа, проведенную северокорейской группой ScarCruft (также известной как APT37 или Reaper). В рамках этой кампании, получившей название Ruby Jumper, злоумышленники используют Zoho WorkDrive для организации каналов управления и контроля (C2) и USB-вредонос для проникновения в изолированные (air-gapped) сети. Новые тактики группы демонстрируют её способность адаптироваться и обходить традиционные средства защиты.

Технические детали атаки

Кампания Ruby Jumper включает два основных вредоносных компонента:

  1. Бэкдор Zoho WorkDrive

    • Кастомный бэкдор, злоупотребляющий облачным хранилищем Zoho WorkDrive для организации C2-коммуникаций.
    • Вредонос загружает дополнительные полезные нагрузки, передавая данные на скомпрометированный аккаунт WorkDrive и обратно.
    • Эта техника позволяет злоумышленникам маскировать вредоносный трафик под легитимное использование облачных сервисов, что усложняет обнаружение.

  2. USB-имплант

    • Вторичный вредоносный модуль, распространяющийся через съемные USB-накопители.
    • При подключении к изолированной системе имплант выполняет заранее заданные команды и передает данные обратно на инфраструктуру, контролируемую злоумышленниками.
    • Этот метод обеспечивает горизонтальное перемещение (lateral movement) и кражу данных в средах, где прямой доступ к интернету ограничен.

Анализ Zscaler показывает, что группа ScarCruft продолжает совершенствовать свой арсенал, вероятно, в ответ на усиленное внимание к её предыдущим методам атак.

Влияние и атрибуция

Группа ScarCruft, спонсируемая северокорейским государством, имеет долгую историю атак на правительственные, оборонные и критически важные инфраструктурные секторы. Использование Zoho WorkDrive и USB-вредоносов указывает на переход к техникам «жизнеобеспечения на месте» (Living-off-the-Land, LotL) и атакам с использованием физических носителей, что позволяет обходить сетевые средства защиты.

Фокус кампании на изолированные сети, которые широко применяются в высокозащищенных средах, таких как военные и ядерные объекты, вызывает обеспокоенность относительно рисков кибершпионажа и утечки данных.

Рекомендации по защите

Командам безопасности рекомендуется внедрить следующие меры для обнаружения и предотвращения подобных атак:

  • Мониторинг использования облачных сервисов: Проводите аудит и ограничивайте доступ к Zoho WorkDrive и другим облачным хранилищам, особенно при обнаружении необычных шаблонов передачи данных.
  • Контроль USB-устройств: Внедряйте строгие политики использования съемных носителей, включая белые списки разрешенных устройств и сканирование на наличие вредоносных полезных нагрузок.
  • Сегментация сети: Изолируйте изолированные системы от менее защищенных сетей, чтобы ограничить горизонтальное перемещение.
  • Решения EDR (Endpoint Detection and Response): Развертывайте продвинутые решения EDR для обнаружения аномального поведения, например, несанкционированных C2-коммуникаций.
  • Обмен угрозной информацией: Следите за обновлениями TTPs (тактики, техники и процедуры) группы ScarCruft через фиды угрозной информации.

Zscaler ThreatLabz не раскрывает подробности о конкретных жертвах, но подчеркивает необходимость повышенной бдительности в отношении северокорейских APT-угроз, нацеленных на критически важную инфраструктуру.

Для более подробного технического анализа ознакомьтесь с полным отчетом Zscaler о кампании Ruby Jumper.

Поделиться

TwitterLinkedIn