ScarCruftの新たな攻撃手法
Ravie Lakshmananによる記事、
Zscaler ThreatLabzが発見したRuby Jumperキャンペーン
北朝鮮の脅威アクターであるScarCruftは、Zoho WorkDriveとUSBマルウェアを使用して、隔離されたネットワークを攻撃する新たな手法を採用しています。
Zscaler ThreatLabzによる発見
このキャンペーンは、Ruby Jumperと名付けられ、Zscaler ThreatLabzによって2025年12月に発見されました。ScarCruftは、RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE、BLUELIGHTなどのマルウェアファミリーを使用して攻撃を展開しています。
攻撃の手順
- LNKファイルの起動: ユーザーが悪意のあるLNKファイルを開くと、PowerShellコマンドが実行され、現在のディレクトリをスキャンして自身の位置を特定します。
- ペイロードの展開: PowerShellスクリプトは、LNKファイルから複数の埋め込みペイロードを抽出し、偽装ドキュメントや実行可能ファイル、追加のPowerShellスクリプト、バッチファイルなどを展開します。
- Zoho WorkDriveの利用: RESTLEAFはZoho WorkDriveを使用してC2通信を行い、さらなるペイロードをダウンロードします。これはScarCruftがクラウドストレージサービスを悪用した最初の事例です。
- SNAKEDROPPERとTHUMBSBD: RESTLEAFはSNAKEDROPPERをインストールし、Rubyランタイムをセットアップします。THUMBSBDはUSBメディアを使用してコマンドを伝達し、インターネット接続のあるシステムと隔離されたシステム間でデータを転送します。
- FOOTWINE: THUMBSBDによって配布されるFOOTWINEは、キーロギングやオーディオおよびビデオのキャプチャ機能を持つエンコードされたペイロードです。これはC2サーバーと独自のバイナリプロトコルを使用して通信します。
- VIRUSTASK: VIRUSTASKはTHUMBSBDと同様に、USBメディアを武器化して隔離されたシステムへの初期アクセスを達成するための役割を持っています。
攻撃チェーンの詳細
Ruby Jumperキャンペーンでは、悪意のあるLNKファイルから始まり、Zoho WorkDriveやGoogle Driveなどの正当なクラウドサービスを使用して、独自のRuby実行環境を展開します。THUMBSBDとVIRUSTASKはUSBメディアを武器化し、ネットワーク隔離をバイパスして隔離されたシステムにマルウェアを拡散します。
まとめ
Ruby Jumperキャンペーンは、ScarCruftがZoho WorkDriveや他の正当なクラウドプロバイダーを使用して、隔離されたネットワークへの攻撃を展開する新たな手法を示しています。これらの攻撃は高度に組織化されており、サイバー犯罪者による高度な脅威として認識されるべきです。
元記事: https://thehackernews.com/2026/02/scarcruft-uses-zoho-workdrive-and-usb.html