Шпионаж через… корзину? Хакеры из APT37 превратили $RECYCLE.BIN в канал связи с Пхеньяном

Группировка APT37, связанная с КНДР, расширила инструментарий для атак на изолированные сети. Команда Zscaler ThreatLabz выявила новую кампанию под названием Ruby Jumper, где злоумышленники объединили облачные сервисы и заражение съёмных носителей, чтобы добраться до систем без прямого выхода в интернет.

APT37, также известная как ScarCruft и Velvet Chollima, запустила цепочку заражения через вредоносные LNK-файлы. После открытия ярлыка PowerShell извлекает встроенные компоненты, среди которых приманка в виде статьи о конфликте между Палестиной и Израилем на арабском языке, а также загрузчики и shellcode. Финальным результатом первого этапа становится запуск импланта RESTLEAF.

RESTLEAF использует Zoho WorkDrive для связи с управляющей инфраструктурой. Вредонос получает токен доступа через встроенные учётные данные и загружает дополнительный код, который внедряет в легитимный системный процесс. После выполнения RESTLEAF создаёт на облачном диске специальные файлы-маячки, сигнализирующие о заражении.

Следующим этапом становится SNAKEDROPPER. Загрузчик разворачивает в каталоге ProgramData полноценную среду Ruby 3.3.0, маскируя интерпретатор под утилиту usbspeed.exe. Затем SNAKEDROPPER подменяет системный Ruby-файл operating_system.rb и добавляет задания в планировщик Windows, добиваясь регулярного запуска вредоносного кода каждые пять минут. Через эту среду активируются два ключевых модуля — THUMBSBD и VIRUSTASK.

THUMBSBD отвечает за обмен данными между подключёнными к интернету машинами и изолированными сегментами. Вредонос собирает сведения о системе, процессы, сетевую конфигурацию и структуру файлов, шифрует данные простым XOR и сохраняет результаты в рабочих каталогах. При подключении флеш-накопителя THUMBSBD создаёт скрытую папку $RECYCLE.BIN, копирует туда команды или подготовленные к отправке файлы и таким образом превращает USB-носитель в двусторонний канал управления.

VIRUSTASK обеспечивает распространение внутри «воздушного зазора». Модуль проверяет объём свободного места на носителе, создаёт скрытую директорию $RECYCLE.BIN.USER и подменяет файлы пользователя ярлыками с теми же названиями. При открытии такого ярлыка запускается поддельный интерпретатор Ruby, который выполняет shellcode и заражает новый компьютер.

Позднее THUMBSBD доставляет бэкдор FOOTWINE, замаскированный под файл с расширением APK. Компонент поддерживает кейлоггинг, съёмку экрана, запись аудио и видео, а также выполнение команд и работу с файлами. Для шифрования трафика FOOTWINE применяет собственный механизм обмена ключами на основе XOR. В цепочке также задействован ранее известный BLUELIGHT, использующий Google Drive, Microsoft OneDrive и другие облачные сервисы для управления.

Аналитики Zscaler связывают Ruby Jumper с APT37 по совокупности признаков — характерной двухэтапной загрузке shellcode, использованию BLUELIGHT и активной эксплуатации облачных платформ. Кампания показывает, что северокорейская группировка целенаправленно развивает инструменты для обхода сетевой изоляции и делает ставку на физические носители как на полноценный канал управления.