Die nordkoreanische Hacker-Gruppe APT37 setzt im Rahmen der Kampagne Ruby Jumper spezialisierte Malware ein, um Daten zwischen isolierten und vernetzten Systemen über USB-Laufwerke zu transferieren.
Nordkoreanische Cyberakteure setzen neuartige Schadsoftware ein, um Daten zwischen internetgestützten und luftgekoppelten Systemen zu verschieben. Die Kampagne wird Ruby Jumper genannt und wird der staatlich unterstützten Gruppe APT37 zugeordnet, die auch unter den Namen ScarCruft, Ricochet Chollima und InkySquid bekannt ist.
Luftisolierte Computer sind von externen Netzwerken, insbesondere dem öffentlichen Internet, komplett getrennt. Diese physische Isolierung wird durch die Entfernung aller Konnektivitätsmöglichkeiten (WLAN, Bluetooth, Ethernet) erreicht. Im Gegensatz dazu basiert logische Segmentierung auf softwaregestützten Kontrollen wie VLANs und Firewalls.
In physisch abgeschotteten Umgebungen — typisch für kritische Infrastrukturen, Militär- und Forschungseinrichtungen — erfolgt die Datenübertragung über externe Speicherlaufwerke.
Forscher des Cloud-Security-Unternehmens Zscaler haben die in der Ruby-Jumper-Kampagne verwendete Malware analysiert und ein Toolkit aus fünf bösartigen Tools identifiziert: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK und FOOTWINE.
Die Infektionskette beginnt, wenn das Opfer eine manipulierte Windows-Verknüpfungsdatei (LNK) öffnet. Diese deployt ein PowerShell-Skript, das in der LNK-Datei eingebettete Payloads extrahiert. Um Aufmerksamkeit abzulenken, startet das Skript gleichzeitig ein Köder-Dokument.
Obwohl die Forscher keine konkreten Opfer nennen, handelt es sich bei dem Dokument um eine arabische Übersetzung eines nordkoreanischen Zeitungsartikels zum Palästina-Israel-Konflikt.
Das PowerShell-Skript laden die erste Malware-Komponente, RESTLEAF, ein Implantat, das mit APT37s Command-and-Control-Infrastruktur über Zoho WorkDrive kommuniziert.
RESTLEAF ruft verschlüsselten Shellcode vom C2-Server ab, um die nächste Infektionsstufe herunterzuladen: einen Ruby-basierten Loader namens SNAKEDROPPER.
Der Angriff setzt sich mit der Installation der Ruby-3.3.0-Laufzeitumgebung fort — komplett mit Interpreter, Standard-Bibliotheken und Gem-Infrastruktur — getarnt als legitimes USB-Dienstprogramm namens usbspeed.exe.
SNAKEDROPPER wird durch Ersetzung der RubyGems-Standarddatei operating_system.rb mit einer manipulierten Version vorbereitet, die automatisch beim Start des Ruby-Interpreters geladen wird. Eine geplante Aufgabe (rubyupdatecheck) führt dies alle fünf Minuten durch.
Die Backdoor THUMBSBD wird als Ruby-Datei ascii.rb heruntergeladen, während VIRUSTASK als Datei bundler_index_client.rb bereitgestellt wird.
THUMBSBD sammelt Systeminformationen, organisiert Befehldateien und bereitet Daten für den Diebstahl vor. Seine kritischste Funktion ist das Erstellen versteckter Verzeichnisse auf erkannten USB-Laufwerken und das Kopieren von Dateien dorthin.
Laut Zscaler wird die Malware Wechselspeichergeräte in “bidirektionale verdeckte C2-Relays” umgewandelt. Dies ermöglicht es, Befehle auf luftgekoppelte Systeme zu übertragen und gleichzeitig Daten aus ihnen zu extrahieren. Durch die Nutzung von Wechselmedien als Zwischenschicht überbrückt die Malware sonst isolierte Netzwerksegmente.
VIRUSTASK hat die Aufgabe, die Infektion auf neue luftgekoppelte Maschinen auszubreiten. Das Modul nutzt Wechsellaufwerke, indem es legitime Dateien versteckt und durch manipulierte Verknüpfungen ersetzt, die den eingebetteten Ruby-Interpreter ausführen, wenn sie geöffnet werden.
Das Infektionsmodul wird nur dann aktiviert, wenn das eingeführte Wechsellaufwerk mindestens 2 GB freien Speicherplatz hat.
Zscaler berichtet, dass THUMBSBD auch FOOTWINE bereitstellt, einen Windows-Spyware-Backdoor, der als Android-Paketdatei (APK) getarnt ist und Tastaturlogging, Screenshot-Erfassung, Audio- und Videoaufnahmen, Dateiverwaltung, Registry-Zugriff und Remote-Shell-Befehle unterstützt.
Eine weitere in der Ruby-Jumper-Kampagne beobachtete Malware ist BLUELIGHT, eine vollwertige Backdoor, die bereits mit der nordkoreanischen Bedrohungsgruppe in Verbindung gebracht wurde.
Zscaler ordnet die Ruby-Jumper-Kampagne APT37 mit hoher Konfidenz zu, basierend auf mehreren Indikatoren: der Einsatz von BLUELIGHT, die Nutzung von LNK-Dateien als initialer Vektor, die zweistufige Shellcode-Liefertechnik und die C2-Infrastruktur, die typischerweise bei Angriffen dieser Gruppe beobachtet wird.
Die Forscher weisen zudem darauf hin, dass das Köder-Dokument darauf hindeutet, dass sich die Ziele der Ruby-Jumper-Aktivitäten für nordkoreanische Mediennarrative interessieren — ein Profil, das mit dem typischen Opferbild dieser Bedrohungsgruppe übereinstimmt.
Quelle: BleepingComputer