СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:25
#ИБ

APT37 (Ruby Jumper): LNK-атаки и облачные C2 через съемные носители

В декабре 2025 года исследователи Zscaler ThreatLabZ зафиксировали сложную многоэтапную кампанию, приписываемую группе APT37, известной также как Ruby Jumper. Злоумышленники применяют файлы ярлыков Windows (LNK) и ряд новых семейств вредоносного ПО — RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE и BLUELIGHT — чтобы проникать в сети, в том числе с так называемым «воздушным зазором», и организовывать коммуникацию и эксфильтрацию через съемные носители и легитимные облачные сервисы.

«В декабре 2025 года Zscaler ThreatLabZ выявил сложную кампанию APT37, злоумышленник, связанный с Северной Кореей, по прозвищу Ruby Jumper».

Схема атаки — кратко

  • Инициирование: эксплуатация вредоносного файла LNK. При открытии LNK запускается команда PowerShell, которая извлекает несколько встроенных полезных нагрузок (document-приманку и исполняемые файлы).
  • Первичная имплантация: RESTLEAF выступает как имплантат первой ступени и использует Zoho WorkDrive для C2.
  • Загрузчик следующего этапа: SNAKEDROPPER разворачивает окружение Ruby, маскируется под USB-утилиту и устанавливает запланированную задачу для закрепления.
  • Распространение через носители: один из шеллкодов целенаправленно заражает съемные носители, что помогает переходу в сети с «воздушным зазором».
  • Ретрансляция и эксфильтрация: THUMBSBD использует съемные носители для ретрансляции команд и передачи данных между онлайновыми устройствами и изолированными сетями.
  • Маскировка и массовое заражение: VIRUSTASK заменяет законные файлы вредоносными ярлыками, вынуждая пользователей запускать вредоносный код при доступе к файлам.
  • Удалённое наблюдение: в конце цепочки FOOTWINE обеспечивает расширенные функции наблюдения (keylogging, захват видео), управляемые через C2 с использованием пользовательского протокола на основе XOR.
  • Дополнительный C2-клиент: BLUELIGHT облегчает выполнение произвольных команд и также использует облачные сервисы для командования и контроля.

Ключевые компоненты вредоносного ПО

Ниже — короткая характеристика основных модулей кампании:

  • RESTLEAF — первый имплантат. Подключается к Zoho WorkDrive для загрузки шеллкода из облака, выполняет process injection и создаёт файлы-маяки, подтверждающие успешное заражение. Использование легитимного облачного сервиса для C2 — заметная эволюция тактики APT37.
  • SNAKEDROPPER — загрузчик следующего этапа: разворачивает Ruby runtime, маскируется под USB-утилиту, устанавливает запланированную задачу и извлекает несколько шеллкодов, включая модуль для инфицирования съемных носителей.
  • THUMBSBD — бэкдор, предназначенный для ретрансляции команд и передачи данных через съемные носители между сетями с доступом в Интернет и изолированными системами.
  • VIRUSTASK — модуль распространения: заменяет легитимные файлы вредоносными LNK, вынуждая пользователей запускать вредоносный код при попытке получить доступ к собственным данным.
  • FOOTWINE — мощный бэкдор с функциями наблюдения: запись нажатий клавиш, захват видео, манипуляции файлами, изменения реестра и управление процессами. Для коммуникаций использует кастомный XOR‑протокол, скрывающий длины пакетов и содержимое.
  • BLUELIGHT — облегчает выполнение произвольных команд и также применяет различные облачные сервисы хранения для C2, что подчеркивает тенденцию APT37 к эксплуатации легитимной инфраструктуры.

Что нового и опасного в этой кампании

  • Широкое использование файлов LNK для скрытого извлечения и выполнения полезной нагрузки через PowerShell.
  • Прямое использование популярных облачных платформ (например, Zoho WorkDrive) для C2, что усложняет обнаружение и блокировку трафика.
  • Целевое заражение и эксплуатация съемных носителей для обхода «воздушного зазора» и распространения в изолированных средах.
  • Многоуровневая архитектура с загрузчиками, ретрансляторами и функциональными бэкдорами, предоставляющими как сбор данных, так и длительное удержание доступа.
  • Использование маскировки под легитимные утилиты и подмены файлов, повышающее шансы успешного обмана пользователей.

Рекомендации по защите

Учитывая сложность и направленность кампании, специалисты по кибербезопасности и администраторы должны рассмотреть следующие меры:

  • Ограничить и контролировать использование съемных носителей: политика блокирования, сканирование перед подключением, аппаратные средства для управления USB-портами.
  • Запретить автоматический запуск LNK/autorun или ограничить выполнение PowerShell-скриптов неподписанных источников; применить жесткие правила для ExecutionPolicy и ScriptBlockLogging.
  • Мониторить и анализировать использование облачных сервисов для нестандартного трафика и аномалий доступа (включая загрузку исполняемых файлов в рабочие пространства и шаринги).
  • Внедрить EDR/NGAV с поведением‑ориентированным обнаружением, отслеживанием process injection и необычных запланированных задач.
  • Применять white‑listing приложений и контроль целостности файлов в критичных средах с «воздушным зазором».
  • Проводить обучение пользователей по распознаванию социальной инженерии и рисков при работе с внешними носителями и вложениями.
  • Сегментировать сеть и минимизировать количество путей пересечения между онлайновыми и изолированными системами.

Вывод

Кампанию APT37, выявленную Zscaler ThreatLabZ, отличает сочетание традиционных техник социальной инженерии (LNK), современных приемов уклонения (использование облака для C2) и физического вектора распространения (съемные носители). Эта комбинация делает угрозу особенно опасной для организаций, где используются изолированные сети и физические переносные носители. Повышенная бдительность, ограничение поверхности атаки и комплексные меры защиты конечных точек — ключевые шаги для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: