北朝鮮の脅威グループAPT37は、新しい多段階ツールセットを使用して、リムーバブルメディアやRuby、クラウドサービスを悪用し、隔離されたネットワークとインターネット接続のあるシステム間でデータとコマンドを移動するキャンペーン「Ruby Jumper」を展開しています。
APT37の新マルウェアについて
Zscaler ThreatLabzが追跡しているこのキャンペーンは、インターネットに接続されているシステムと隔離されたシステム間でデータやコマンドを移動し、強力な監視バックドアを展開することを目的としています。
新しく文書化されたコンポーネント
- RESTLEAF: Windowsインプラントで、Zoho WorkDriveを使用してコマンドと制御を行う。
- SNAKEDROPPER: 二段階のシェルコードランチャーを介して動作し、合法的なWindowsプロセス内でペイロードをデクリプトします。
- THUMBSBD: 中央バックドアとして機能し、隔離されたネットワーク間でコマンドとデータの移動を行います。
- VIRUSTASK: USBドライブを介してツールキットを拡散します。
- FOOTWINE: エンクリプトされたペイロードで、TCP C2通信に独自のXORベースのキー交換プロトコルを使用します。
- BLUELIGHT: 既存のバックドアで、Google DriveやOneDriveなどのクラウドサービスと通信し、ファイルを移動したり削除したりできます。
攻撃の流れ
APT37は、被害者が悪意のあるWindowsショートカット(LNK)ファイルを開くことで攻撃を開始します。このショートカットがPowerShellをトリガーし、複数の埋め込みペイロードを抽出します。
防御者のための対策
Zscaler ThreatLabzは、APT37によるRuby Jumperキャンペーンを高確信度で特定しています。防御者はLNK実行の監視や、エンドポイント上の不自然なRubyランタイム、クラウドストレージアクセスパターン、特にUSB活動とリムーバブルメディア上の隠しフォルダを重点的にモニタリングする必要があります。