网易首页 > 网易号 > 正文 申请入驻

ScarCruft利用Zoho WorkDrive和USB恶意软件突破物理隔离网络

0
分享至


朝鲜威胁行为者ScarCruft被归因于一套全新的工具,包括一个使用Zoho WorkDrive进行命令和控制通信以获取更多有效载荷的后门程序,以及一个使用可移动媒体来中继命令和突破物理隔离网络的植入程序。

这个被Zscaler ThreatLabz代号为Ruby Jumper的攻击活动,涉及部署RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE和BLUELIGHT等恶意软件家族,以便对受害者系统进行监控。该攻击于2025年12月被网络安全公司发现。

"在Ruby Jumper攻击活动中,当受害者打开恶意LNK文件时,它会启动PowerShell命令并扫描当前目录,根据文件大小定位自身,"安全研究员朴成洙表示。"然后,LNK文件启动的PowerShell脚本从该LNK内的固定偏移位置雕刻出多个嵌入式载荷,包括诱饵文档、可执行载荷、附加PowerShell脚本和批处理文件。"

攻击活动中使用的诱饵文档之一显示了一篇关于巴勒斯坦-以色列冲突的文章,该文章从朝鲜报纸翻译成阿拉伯语。

其余三个载荷都用于逐步将攻击推进到下一阶段,批处理脚本启动PowerShell,而PowerShell则负责在解密后加载包含载荷的shellcode。名为RESTLEAF的Windows可执行载荷在内存中生成,并使用Zoho WorkDrive进行命令和控制,这标志着该威胁行为者首次在其攻击活动中滥用云存储服务。

一旦通过有效访问Token成功与Zoho WorkDrive基础设施进行身份验证,RESTLEAF就会下载shellcode,然后通过进程注入执行,最终导致SNAKEDROPPER的部署,该程序安装Ruby运行时,使用计划任务建立持久性,并投放THUMBSBD和VIRUSTASK。

THUMBSBD伪装成Ruby文件,使用可移动媒体在联网系统和物理隔离系统之间中继命令和传输数据。它能够收集系统信息、从远程服务器下载辅助载荷、窃取文件并执行任意命令。如果检测到任何可移动媒体的存在,恶意软件会创建一个隐藏文件夹,并使用它来暂存操作员发出的命令或存储执行输出。

THUMBSBD传递的载荷之一是FOOTWINE,这是一个带有集成shellcode启动器的加密载荷,配备了键盘记录以及音频和视频捕获功能来进行监控。它使用TCP上的自定义二进制协议与命令和控制服务器通信。该恶意软件支持的完整命令集如下:

sm,用于交互式命令外壳

fm,用于文件和目录操作

gm,用于管理插件和配置

rm,用于修改Windows注册表

pm,用于枚举运行的进程

dm,用于截图和捕获击键

cm,用于执行音频和视频监控

s_d,用于从命令和控制服务器接收批处理脚本内容,将其保存到文件%TEMP%\\SSMMHH_DDMMYYYY.bat,并执行它

pxm,用于设置代理连接并双向中继流量

[filepath],用于加载给定的DLL

THUMBSBD还被设计用来分发BLUELIGHT,这是一个自2021年以来就归因于ScarCruft的后门程序。该恶意软件武器化合法的云提供商,包括Google Drive、Microsoft OneDrive、pCloud和BackBlaze,用于命令和控制以运行任意命令、枚举文件系统、下载附加载荷、上传文件并删除自身。

VIRUSTASK也作为Ruby文件交付,其功能类似于THUMBSBD,充当可移动媒体传播组件,将恶意软件传播到未感染的物理隔离系统。"与处理命令执行和数据窃取的THUMBSBD不同,VIRUSTASK专门专注于武器化可移动媒体以实现对物理隔离系统的初始访问,"朴成洙解释道。

"Ruby Jumper攻击活动涉及多阶段感染链,始于恶意LNK文件,并利用合法云服务(如Zoho WorkDrive、Google Drive、Microsoft OneDrive等)部署一个新颖的、自包含的Ruby执行环境,"朴成洙表示。"最关键的是,THUMBSBD和VIRUSTASK武器化可移动媒体来绕过网络隔离并感染物理隔离系统。"

Q&A

Q1:ScarCruft的Ruby Jumper攻击是如何开始的?

A:Ruby Jumper攻击始于受害者打开恶意LNK文件,该文件启动PowerShell命令扫描当前目录,然后从LNK文件的固定偏移位置提取多个嵌入式载荷,包括诱饵文档、可执行载荷、PowerShell脚本和批处理文件。

Q2:THUMBSBD恶意软件有什么特殊功能?

A:THUMBSBD伪装成Ruby文件,专门利用可移动媒体在联网系统和物理隔离系统之间中继命令和传输数据。它能收集系统信息、下载载荷、窃取文件、执行命令,并在检测到可移动媒体时创建隐藏文件夹来暂存操作员命令。

Q3:FOOTWINE恶意软件具备哪些监控能力?

A:FOOTWINE是一个加密载荷,配备了键盘记录以及音频和视频捕获功能。它支持交互式命令外壳、文件操作、进程枚举、截图击键捕获、音视频监控、代理连接等多种命令,使用TCP上的自定义二进制协议与控制服务器通信。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
有远见的父母,一定要告诫女儿:无论丈夫好坏,都要守住三道底气

有远见的父母,一定要告诫女儿:无论丈夫好坏,都要守住三道底气

阿凯销售场
2026-03-01 01:08:44
18年前,揭露“三鹿奶粉”的上海记者简光洲,最后被报复了吗?

18年前,揭露“三鹿奶粉”的上海记者简光洲,最后被报复了吗?

毛豆何时归
2026-02-22 07:19:18
荷兰半导体专家:ASML花费40年钻研光刻机,中国企业竟比ASML还狠

荷兰半导体专家:ASML花费40年钻研光刻机,中国企业竟比ASML还狠

策略述
2026-02-28 17:11:40
美媒感慨:若不是中国还在反抗特朗普,几乎全世界都向他投降了

美媒感慨:若不是中国还在反抗特朗普,几乎全世界都向他投降了

悦心知足
2026-02-21 23:03:46
畜生父亲虞天华被执行死刑,押赴刑场前高喊:这辈子值了!

畜生父亲虞天华被执行死刑,押赴刑场前高喊:这辈子值了!

纸鸢奇谭
2024-12-04 21:37:57
比熬夜可怕十倍的10个坏习惯,一定要抛弃!

比熬夜可怕十倍的10个坏习惯,一定要抛弃!

深度知局
2026-02-26 21:39:44
日本退将大胆预判:中日必有一战,日本极有可能成为下一个乌克兰

日本退将大胆预判:中日必有一战,日本极有可能成为下一个乌克兰

安珈使者啊
2026-03-01 14:44:25
巴拿马总统彻底傻眼了!突然发现强吞中国18亿资产,竟是自掘坟墓

巴拿马总统彻底傻眼了!突然发现强吞中国18亿资产,竟是自掘坟墓

米果说识
2026-03-01 14:28:09
多国谴责美以突袭伊朗,呼吁尽快恢复对话谈判

多国谴责美以突袭伊朗,呼吁尽快恢复对话谈判

中国青年报
2026-03-01 14:57:40
全球能源命脉被掐断!伊朗强行关闭霍尔木兹海峡,油价即将引爆

全球能源命脉被掐断!伊朗强行关闭霍尔木兹海峡,油价即将引爆

老马拉车莫少装
2026-03-01 00:41:05
秦安,伊朗最高精神领袖被斩首,这四件事中国必须做好万全准备

秦安,伊朗最高精神领袖被斩首,这四件事中国必须做好万全准备

秦安战略
2026-03-01 11:58:52
特朗普掀桌!连夜下死令,欲废除中国一地位,中方亮剑:奉陪到底

特朗普掀桌!连夜下死令,欲废除中国一地位,中方亮剑:奉陪到底

让生活充满温暖
2026-02-28 17:34:25
上海政府给他们外地人每人免费送套房子,未来可行,短期内还不会

上海政府给他们外地人每人免费送套房子,未来可行,短期内还不会

上海云河
2026-02-28 19:06:33
全球只有5位领导人被永久保留遗体,他们都是谁

全球只有5位领导人被永久保留遗体,他们都是谁

扶苏聊历史
2026-01-29 16:13:42
小米豁出去了,16GB+1TB+2K+6500mAh,顶配旗舰跌至“冰点价”

小米豁出去了,16GB+1TB+2K+6500mAh,顶配旗舰跌至“冰点价”

小愚测评
2026-03-01 14:58:30
民间“疯婆婆”的预言全部应验,人类将遭大劫!

民间“疯婆婆”的预言全部应验,人类将遭大劫!

神奇故事
2026-02-12 04:56:40
越看越上头!小七宝萌化全网,张兰直言:这娃来的正是好时候!

越看越上头!小七宝萌化全网,张兰直言:这娃来的正是好时候!

乐悠悠娱乐
2026-02-28 15:12:32
金正恩向主要领导干部赠送新一代狙击步枪

金正恩向主要领导干部赠送新一代狙击步枪

环球网资讯
2026-02-28 06:36:25
王一博綦美合的“宝宝巴士”!

王一博綦美合的“宝宝巴士”!

八卦疯叔
2026-03-01 11:10:15
中俄边境传来好消息,俄罗斯终于想通了,废弃25年的铁路重新开通

中俄边境传来好消息,俄罗斯终于想通了,废弃25年的铁路重新开通

墨印斋
2026-02-28 05:03:57
2026-03-01 15:56:49
至顶头条 incentive-icons
至顶头条
记录和推动数字化创新
16420文章数 49694关注度
往期回顾 全部

科技要闻

小米超跑概念车全球首秀!杀入顶豪俱乐部

头条要闻

专家:伊朗局势可参考委内瑞拉 反美力量将进一步削弱

头条要闻

专家:伊朗局势可参考委内瑞拉 反美力量将进一步削弱

体育要闻

火箭输给热火:乌度卡又输斯波教练

娱乐要闻

《江山为聘》:吴谨言陈哲远燃炸朝堂

财经要闻

中东局势升级 如何影响A股、黄金和原油

汽车要闻

小米汽车2月交付超20000台 雷军:为新SU7量产作准备

态度原创

艺术
家居
教育
公开课
军事航空

艺术要闻

2025第四届“精神·图式”——中国写意油画双年展 | 入选油画选刊

家居要闻

素色肌理 品意式格调

教育要闻

五年级求面积,会者不难

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

美国以色列联合袭击伊朗 实时战况

无障碍浏览 进入关怀版