ScarCruft利用Zoho WorkDrive和USB恶意软件突破物理隔离网络

朝鲜威胁行为者ScarCruft被归因于一套全新的工具，包括一个使用Zoho WorkDrive进行命令和控制通信以获取更多有效载荷的后门程序，以及一个使用可移动媒体来中继命令和突破物理隔离网络的植入程序。

这个被Zscaler ThreatLabz代号为Ruby Jumper的攻击活动，涉及部署RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE和BLUELIGHT等恶意软件家族，以便对受害者系统进行监控。该攻击于2025年12月被网络安全公司发现。

"在Ruby Jumper攻击活动中，当受害者打开恶意LNK文件时，它会启动PowerShell命令并扫描当前目录，根据文件大小定位自身，"安全研究员朴成洙表示。"然后，LNK文件启动的PowerShell脚本从该LNK内的固定偏移位置雕刻出多个嵌入式载荷，包括诱饵文档、可执行载荷、附加PowerShell脚本和批处理文件。"

攻击活动中使用的诱饵文档之一显示了一篇关于巴勒斯坦-以色列冲突的文章，该文章从朝鲜报纸翻译成阿拉伯语。

其余三个载荷都用于逐步将攻击推进到下一阶段，批处理脚本启动PowerShell，而PowerShell则负责在解密后加载包含载荷的shellcode。名为RESTLEAF的Windows可执行载荷在内存中生成，并使用Zoho WorkDrive进行命令和控制，这标志着该威胁行为者首次在其攻击活动中滥用云存储服务。

一旦通过有效访问Token成功与Zoho WorkDrive基础设施进行身份验证，RESTLEAF就会下载shellcode，然后通过进程注入执行，最终导致SNAKEDROPPER的部署，该程序安装Ruby运行时，使用计划任务建立持久性，并投放THUMBSBD和VIRUSTASK。

THUMBSBD伪装成Ruby文件，使用可移动媒体在联网系统和物理隔离系统之间中继命令和传输数据。它能够收集系统信息、从远程服务器下载辅助载荷、窃取文件并执行任意命令。如果检测到任何可移动媒体的存在，恶意软件会创建一个隐藏文件夹，并使用它来暂存操作员发出的命令或存储执行输出。

THUMBSBD传递的载荷之一是FOOTWINE，这是一个带有集成shellcode启动器的加密载荷，配备了键盘记录以及音频和视频捕获功能来进行监控。它使用TCP上的自定义二进制协议与命令和控制服务器通信。该恶意软件支持的完整命令集如下：

sm，用于交互式命令外壳

fm，用于文件和目录操作

gm，用于管理插件和配置

rm，用于修改Windows注册表

pm，用于枚举运行的进程

dm，用于截图和捕获击键

cm，用于执行音频和视频监控

s_d，用于从命令和控制服务器接收批处理脚本内容，将其保存到文件%TEMP%\SSMMHH_DDMMYYYY.bat，并执行它

pxm，用于设置代理连接并双向中继流量

[filepath]，用于加载给定的DLL

THUMBSBD还被设计用来分发BLUELIGHT，这是一个自2021年以来就归因于ScarCruft的后门程序。该恶意软件武器化合法的云提供商，包括Google Drive、Microsoft OneDrive、pCloud和BackBlaze，用于命令和控制以运行任意命令、枚举文件系统、下载附加载荷、上传文件并删除自身。

VIRUSTASK也作为Ruby文件交付，其功能类似于THUMBSBD，充当可移动媒体传播组件，将恶意软件传播到未感染的物理隔离系统。"与处理命令执行和数据窃取的THUMBSBD不同，VIRUSTASK专门专注于武器化可移动媒体以实现对物理隔离系统的初始访问，"朴成洙解释道。

"Ruby Jumper攻击活动涉及多阶段感染链，始于恶意LNK文件，并利用合法云服务（如Zoho WorkDrive、Google Drive、Microsoft OneDrive等）部署一个新颖的、自包含的Ruby执行环境，"朴成洙表示。"最关键的是，THUMBSBD和VIRUSTASK武器化可移动媒体来绕过网络隔离并感染物理隔离系统。"

Q&A

Q1：ScarCruft的Ruby Jumper攻击是如何开始的？

A：Ruby Jumper攻击始于受害者打开恶意LNK文件，该文件启动PowerShell命令扫描当前目录，然后从LNK文件的固定偏移位置提取多个嵌入式载荷，包括诱饵文档、可执行载荷、PowerShell脚本和批处理文件。

Q2：THUMBSBD恶意软件有什么特殊功能？

A：THUMBSBD伪装成Ruby文件，专门利用可移动媒体在联网系统和物理隔离系统之间中继命令和传输数据。它能收集系统信息、下载载荷、窃取文件、执行命令，并在检测到可移动媒体时创建隐藏文件夹来暂存操作员命令。

Q3：FOOTWINE恶意软件具备哪些监控能力？

A：FOOTWINE是一个加密载荷，配备了键盘记录以及音频和视频捕获功能。它支持交互式命令外壳、文件操作、进程枚举、截图击键捕获、音视频监控、代理连接等多种命令，使用TCP上的自定义二进制协议与控制服务器通信。