Hackers norte-coreanos vêm utilizando ferramentas recentemente descobertas para transferir dados entre sistemas conectados à internet e aqueles isolados por air-gap, além de se propagarem via drives removíveis e realizarem vigilância oculta.
A campanha maliciosa, nomeada Ruby Jumper, é atribuída ao grupo estatal APT37, também conhecido por apelidos como ScarCruft, Ricochet Chollima e InkySquid.
Sistemas com air-gap são aqueles totalmente desconectados de redes externas, especialmente da internet pública.
O isolamento físico ocorre no nível do hardware, eliminando conexões como Wi-Fi, Bluetooth e Ethernet.
Por outro lado, o isolamento lógico é implementado por meio de controles definidos via software, como VLANs e firewalls.
Esse tipo de ambiente é comum em setores críticos, militares e de pesquisa.
Nesses ambientes, a transferência de dados é feita por meio de armazenamento removível, como pendrives.
Pesquisadores da empresa de segurança em nuvem Zscaler analisaram o malware usado na campanha Ruby Jumper do APT37 e identificaram um conjunto de cinco ferramentas maliciosas: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE.
A cadeia de infecção tem início quando a vítima abre um arquivo malicioso de atalho do Windows (LNK).
Esse arquivo executa um script em PowerShell que extrai payloads embutidos no próprio arquivo LNK.
Para despistar, o script também abre um documento falso.
Embora o estudo não tenha detalhado vítimas específicas, o documento decoy é uma tradução para o árabe de um artigo de jornal norte-coreano sobre o conflito entre Palestina e Israel.
O script em PowerShell carrega o primeiro componente malicioso, chamado RESTLEAF, um implant que se comunica com a infraestrutura de comando e controle (C2) do APT37 usando o serviço Zoho WorkDrive.
O RESTLEAF busca um shellcode criptografado no C2 para baixar o próximo payload, um loader desenvolvido em Ruby chamado SNAKEDROPPER.
A sequência prossegue com a instalação do ambiente de runtime Ruby 3.3.0 — incluindo interpretador, bibliotecas padrão e sistema de gemas — disfarçado como uma ferramenta legítima para USB, nomeada usbspeed.exe.
"SNAKEDROPPER é configurado para execução automática ao substituir o arquivo padrão RubyGems operating_system.rb por uma versão maliciosamente modificada, que é carregada quando o interpretador Ruby é iniciado", explicam os pesquisadores.
Essa execução é acionada por uma tarefa agendada (rubyupdatecheck) que roda a cada cinco minutos.
O backdoor THUMBSBD é baixado como um arquivo Ruby (“ascii.rb”), junto com o malware VIRUSTASK, entregue no arquivo bundler_index_client.rb.
O THUMBSBD tem como funções coletar informações do sistema, preparar arquivos de comando e organizar dados para exfiltração.
Seu papel mais importante é criar diretórios ocultos nas unidades USB detectadas e copiar arquivos para esses locais.
Segundo os pesquisadores, o malware transforma dispositivos removíveis em “um canal C2 covert bidirecional”, permitindo que os agentes da ameaça enviem comandos para sistemas isolados por air-gap e extraiam informações deles.
“Usando mídias removíveis como camada intermediária, o malware estabelece uma ponte entre segmentos de rede normalmente desconectados”, afirmam os especialistas da Zscaler.
O VIRUSTASK é responsável por propagar a infecção para outros computadores air-gapped, transformando drives removíveis em vetores de ataque.
Ele oculta arquivos legítimos e os substitui por atalhos maliciosos que executam o interpretador Ruby embutido ao serem abertos.
Esse módulo só dispara o processo de infecção se o dispositivo removível inserido tiver pelo menos 2 GB de espaço livre.
Também foi identificado que o THUMBSBD entrega o FOOTWINE, um spyware backdoor para Windows disfarçado como arquivo APK (Android).
Esse malware permite keylogging, captura de telas, gravação de áudio e vídeo, manipulação de arquivos e registro do sistema, além de comandos remotos via shell.
Outra ferramenta observada na campanha Ruby Jumper é o backdoor BLUELIGHT, já associado anteriormente ao grupo APT37.
A Zscaler tem alta confiança em atribuir a operação Ruby Jumper ao APT37, baseando-se em diversos indícios: uso do malware BLUELIGHT, vetor inicial via arquivos LNK, técnica de entrega de shellcode em duas etapas e infraestrutura C2 típica desse ator.
Os pesquisadores também destacam que o documento decoy sugere que o alvo da campanha tem interesse em narrativas da mídia norte-coreana, compatível com o perfil usual das vítimas desse grupo.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...