【安全资讯】APT37黑客组织利用新型恶意软件突破物理隔离网络

概要：

在网络安全领域，物理隔离网络（Air-gapped）通常被视为保护关键基础设施、军事和科研系统的最后防线。然而，近期由朝鲜国家背景支持的APT37黑客组织（亦被称为ScarCruft、Ricochet Chollima）发起了一场名为“Ruby Jumper”的恶意活动，其利用一套包含五种新型恶意软件的工具包，成功突破了这一传统安全边界，实现了在联网系统与物理隔离系统之间的数据窃取与命令传递，对全球关键部门构成了严重威胁。

主要内容：

此次攻击链始于一个恶意的Windows快捷方式文件。当受害者打开该LNK文件时，会触发一个PowerShell脚本，该脚本不仅释放嵌入的恶意负载，还会打开一份作为诱饵的阿拉伯语翻译的朝鲜报纸文章，以分散受害者注意力。脚本首先部署名为RESTLEAF的植入程序，该程序通过Zoho WorkDrive云服务与攻击者的命令与控制服务器通信，获取加密的Shellcode以下载下一阶段载荷。

攻击的核心在于利用Ruby编程环境。攻击者会安装伪装成合法USB工具（usbspeed.exe）的Ruby 3.3.0运行时环境。随后，通过一个名为SNAKEDROPPER的Ruby加载器，恶意替换RubyGems的默认文件，确保恶意代码在Ruby解释器启动时自动加载。此过程由一个每五分钟执行一次的定时任务控制。

攻击成功的关键技术在于利用可移动存储设备（如U盘）作为“桥梁”。THUMBSBD后门负责在检测到的USB驱动器上创建隐藏目录并复制文件，将U盘转变为双向的秘密C2中继通道。这使得攻击者既能向隔离网络发送指令，也能从中窃取数据。同时，VIRUSTASK模块负责将感染传播到新的隔离机器，它通过隐藏合法文件并替换为恶意快捷方式来实现。

此外，攻击中还使用了名为FOOTWINE的Windows间谍软件后门，其功能包括键盘记录、屏幕截图、音视频录制等。研究人员基于BLUELIGHT后门的使用、LNK初始攻击向量、两阶段Shellcode投递技术及特有的C2基础设施，高度确信此次攻击归因于APT37组织。该活动表明，针对高度敏感目标的网络攻击正变得日益复杂和隐蔽。