朝鲜APT组织ScarCruft利用Zoho WorkDrive后门及USB恶意软件攻击隔离网络

朝鲜APT组织ScarCruft针对隔离网络部署新型恶意工具

Zscaler ThreatLabz的安全研究人员近期揭露了朝鲜高级持续威胁（APT）组织ScarCruft发起的一项新型网络间谍活动。该组织利用Zoho WorkDrive作为命令与控制（C2）通信渠道，并通过USB恶意软件渗透隔离网络。此次被命名为Ruby Jumper的攻击行动展示了ScarCruft不断演进的战术，旨在规避传统安全防御。

攻击技术细节

Ruby Jumper行动主要采用两种恶意软件组件：

1. Zoho WorkDrive后门

   • 一种自定义后门，滥用Zoho WorkDrive云存储服务进行C2通信。
   • 恶意软件通过受感染的WorkDrive账户窃取和接收额外的有效载荷。
   • 该技术通过将恶意流量与合法云服务使用混合，帮助攻击者规避检测。

2. USB植入型恶意软件

   • 一种通过可移动USB驱动器传播的二级恶意软件。
   • 一旦插入隔离系统，该植入程序将执行预定义命令并将数据回传至攻击者控制的基础设施。
   • 此方法能够在直接互联网访问受限的环境中实现横向移动和数据窃取。

Zscaler的分析表明，ScarCruft正在不断完善其工具集，可能是为了应对对其先前攻击方法的日益严格审查。

影响与归因

ScarCruft（又称APT37或Reaper）是一个由朝鲜国家支持的威胁组织，长期针对政府、国防及关键基础设施领域。此次使用Zoho WorkDrive和USB恶意软件表明该组织正转向**“Living-off-the-Land”（LotL）技术和基于物理介质的攻击**，以规避基于网络的防御。

该行动专注于隔离网络（常见于军事和核设施等高安全环境），引发了对潜在间谍活动和数据泄露风险的担忧。

防御建议

安全团队应采取以下缓解措施，以检测和防范类似攻击：

• 监控云服务使用：审计并限制对Zoho WorkDrive及其他云存储平台的访问，尤其关注异常数据传输模式。
• USB设备控制：强制执行严格的可移动介质使用政策，包括白名单管理和恶意载荷扫描。
• 网络分段：将隔离系统与安全性较低的网络隔离，限制横向移动。
• 终端检测与响应（EDR）：部署高级EDR解决方案，检测异常行为，如未经授权的C2通信。
• 威胁情报共享：通过威胁情报源及时了解ScarCruft的TTPs（战术、技术与流程）。

Zscaler ThreatLabz尚未披露具体受害者细节，但强调需对针对敏感基础设施的朝鲜APT威胁保持高度警惕。

更多技术分析详见Zscaler关于Ruby Jumper行动的完整报告。