与朝鲜有关联的APT37威胁组织近期发动了一场复杂的新型攻击活动,使用专门针对物理隔离系统(长期被视为全球最安全系统类型)定制开发的全套恶意软件工具。这项代号为"Ruby Jumper"的行动标志着该组织攻击能力的显著升级,揭示了国家支持的黑客如何巧妙突破企业用于保护核心数据的物理安全措施。
攻击组织背景与工具演变
APT37(又名ScarCruft、Ruby Sleet和Velvet Chollima)是朝鲜政府支持的老牌黑客组织,长期针对与朝鲜国家利益相关的政府机构、国防组织和特定个人。该组织过去主要使用Chinotto恶意软件家族实施间谍活动和数据窃取。而此次Ruby Jumper行动则引入了五个全新恶意软件组件:RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK和FOOTWINE,这些工具在多阶段攻击链中各司其职,最终在物理隔离设备上植入监控程序。
Zscaler威胁研究团队ThreatLabz于2025年12月发现该活动,揭露了攻击者如何构建能跨越网络边界的隐蔽感染链。攻击始于一个恶意的Windows快捷方式文件(LNK),受害者打开后会在后台静默释放并执行多阶段载荷。诱饵文件是一份从朝鲜媒体翻译成阿拉伯语的巴以冲突文档,表明攻击目标可能包括对朝鲜叙事感兴趣的阿拉伯语使用者——这与APT37已知的受害者特征相符。
多阶段攻击链解析
完整攻击链从初始LNK文件开始,依次通过RESTLEAF(第一阶段下载器)、SNAKEDROPPER(第二阶段载荷投放)、THUMBSBD和VIRUSTASK(通过可移动介质桥接物理隔离主机),最终由BLUELIGHT和FOOTWINE实现全面监控。该攻击的突破性在于:当U盘等可移动介质在联网设备和物理隔离设备间交叉使用时,恶意软件就能侵入本应与外界隔绝的系统。攻击者还滥用Zoho WorkDrive、Microsoft OneDrive、Google Drive和pCloud等云服务作为命令控制(C2)基础设施,使恶意流量隐匿于正常业务通信中。
THUMBSBD突破物理隔离的技术原理
Ruby Jumper行动中最具技术突破性的组件是THUMBSBD后门,它能将普通可移动介质转变为联网系统与物理隔离系统间的隐蔽双向通信通道。当U盘连接已感染的联网设备时,THUMBSBD会将预置命令文件复制到驱动器的隐藏目录$RECYCLE.BIN(该目录在Windows资源管理器默认设置下不可见)。当该U盘接入运行THUMBSBD植入程序的物理隔离设备时,恶意软件会读取这些隐藏文件,用单字节XOR密钥解密后执行攻击者指令,包括文件窃取、系统侦察和任意命令执行等操作。
协同攻击组件与防御建议
VIRUSTASK与THUMBSBD协同工作,通过用恶意LNK快捷方式替换U盘上的合法文件实现感染扩散。当新设备用户点击看似正常的文件时,会无意中激活基于Ruby的执行环境。SNAKEDROPPER则将完整的Ruby 3.3.0运行时环境伪装成名为usbspeed.exe的USB速度测试工具,并创建每5分钟运行一次的rubyupdatecheck计划任务维持持久性。最终载荷FOOTWINE提供键盘记录、音视频捕获等监控功能,并通过自定义XOR密钥交换协议建立加密C2通道。
针对该攻击活动,安全团队(特别是管理物理隔离环境的机构)应采取以下防护措施:
- 严格限制可移动介质使用,对物理隔离系统实施硬件级管控
- 监控异常计划任务,审查所有新建的端点计划任务(如
rubyupdatecheck) - 审计云存储访问,重点关注Zoho WorkDrive、OneDrive等被滥用的云服务
- 检查LNK文件,警惕邮件附件和下载内容中的恶意快捷方式
- 排查入侵痕迹,检查
%PROGRAMDATA%\usbspeed路径、HKCU\SOFTWARE\Microsoft\TnGtp注册表键及U盘隐藏目录 - 加强终端活动监控,按照ThreatLabz建议强化物理接入点防护
参考来源:
North Korean APT37 Hackers Leverages Novel Malware to Infect Air‑Gapped Systems
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
