Die nordkoreanische Hackergruppe ScarCruft setzt in ihrer neuen “Ruby Jumper”-Kampagne innovative Angriffsmethoden ein: Sie missbraucht Zoho WorkDrive als Command-and-Control-Kanal und nutzt USB-basierte Malware, um auch luftgekoppelte Netzwerke zu infiltrieren.
Die nordkoreanische Bedrohungsgruppe ScarCruft hat sich erneut als gefährlich innovativ erwiesen. Sicherheitsexperten von Zscaler ThreatLabz haben eine umfangreiche Kampagne mit dem Codenamen “Ruby Jumper” dokumentiert, die mehrere neue Malware-Familien und ungewöhnliche Angriffsvektoren kombiniert.
Das Besondere: ScarCruft missbraucht erstmals den Cloud-Storage-Dienst Zoho WorkDrive als Kommunikationskanal für ihre Backdoor-Programme. Zusätzlich setzen die Angreifer USB-Geräte als “Brücke” ein, um sogar isolierte Computernetzwerke zu infiltrieren – eine raffinierte Methode, um die klassischen Sicherheitsperimeter zu durchbrechen.
Die Kampagne wurde im Dezember 2025 entdeckt und nutzt ein ausgefeiltes Infektions-Schema. Alles beginnt mit einer präparierten LNK-Datei, die PowerShell-Befehle ausführt. Der Sicherheitsexperte Seongsu Park erklärte: “Die LNK-Datei scannt ihr eigenes Verzeichnis, um sich anhand der Dateigröße zu lokalisieren. Dann extrahiert das PowerShell-Skript mehrere versteckte Nutzlasten aus festdefinierten Positionen der LNK-Datei: ein Köder-Dokument, ein ausführbares Programm, ein zusätzliches PowerShell-Skript und eine Batch-Datei.”
Eine der verwendeten Köder-Dateien zeigt einen Artikel zum israelisch-palästinensischen Konflikt – übersetzt aus einer nordkoreanischen Zeitung ins Arabische.
Die nachfolgenden Nutzlasten werden stufenweise aktiviert. Das Batch-Skript startet PowerShell, das wiederum verschlüsselte Shellcode lädt und ausführt. Dabei wird die Malware RESTLEAF im Speicher erzeugt und verbindet sich über Zoho WorkDrive zum Kommandoserver. Nach erfolgreicher Authentifizierung mit einem gültigen Zugangstoken lädt RESTLEAF weitere Shellcode herunter und injiziert diese in laufende Prozesse – der Start für die nächste Stufe: SNAKEDROPPER wird installiert, richtet Persistenz durch geplante Aufgaben ein und lädt THUMBSBD sowie VIRUSTASK.
THUMBSBD ist besonders bemerkenswert: Die als Ruby-Datei getarnte Malware nutzt USB-Geräte, um Befehle zwischen Internet-verbundenen und isolierten Systemen weiterzuleiten. Sie sammelt Systeminformationen, lädt zusätzliche Nutzlasten herunter, stiehlt Dateien und führt beliebige Befehle aus. Wird ein USB-Gerät erkannt, erstellt die Malware versteckte Ordner, um Operator-Befehle zu speichern oder Ausführungsergebnisse abzulegen.
Durch THUMBSBD wird auch FOOTWINE verteilt – eine verschlüsselte Nutzlast mit integriertem Shellcode-Launcher. Diese Komponente übernimmt Überwachungsaufgaben: Sie protokolliert Tastenanschläge, zeichnet Audio und Video auf und kommuniziert über ein proprietäres binäres Protokoll mit dem Kommandoserver.
Ebenso von THUMBSBD wird BLUELIGHT verbreitet, eine Backdoor, die ScarCruft bereits seit mindestens 2021 einsetzt. BLUELIGHT instrumentalisiert legale Cloud-Services wie Google Drive, Microsoft OneDrive, pCloud und Backblaze als Kommandokanäle – um beliebige Befehle auszuführen, Dateisysteme zu durchsuchen, weitere Malware nachzuladen oder Dateien hochzuladen.
VIRUSTASK funktioniert ähnlich wie THUMBSBD und ist ebenfalls als Ruby-Datei implementiert. Der entscheidende Unterschied: Während THUMBSBD Befehle ausführt und Daten stiehlt, spezialisiert sich VIRUSTASK ausschließlich darauf, USB-Geräte als Infektionsvektoren zu nutzen. “VIRUSTASK ermöglicht den Erstzugriff auf isolierte Systeme durch Wechselmedien”, so Park.
Zusammengefasst: Die Ruby Jumper-Kampagne kombiniert eine Multi-Stufen-Infektionskette mit einem neuartigen, in sich geschlossenen Ruby-Runtime-Environment und missbraucht Cloud-Services für den Fernzugriff. Das Kritischste aber: THUMBSBD und VIRUSTASK hebeln Netzwerk-Isolation auf – indem sie USB-Geräte als Transportmittel für Malware in abgetrennte Systeme nutzen. Damit präsentiert ScarCruft einen neuen Ansatz, klassische Sicherheitsmaßnahmen zu überwinden.
Quelle: The Hacker News