Die Sicherheitsgemeinschaft setzt die Lupe vor kurzem auf eine nordkoreanische Gruppe zurück, die weltweit als ScarCruft oder APT37 bekannt ist. Zscaler-Forscher gaben eine komplexe und gut funktionierende Kampagne, die sie "Ruby Jumper" genannt haben und die nach dem Ende 2025 veröffentlichten Bericht traditionelle Social Engineering-Techniken mit modernen Tricks kombiniert: Verwendung von legitimen Cloud-Diensten als Befehls- und Kontrollkanal und eine neugierige Strategie, isolierte Netzwerke mit abnehmbaren Mitteln zu springen.
Der Angriff beginnt mit etwas, das im Aussehen unbemerkt gehen kann: eine bösartige LNK-Datei. Wenn Sie es öffnen, führen Sie eine PowerShell-Kette, die nicht nur versucht zu bestehen, sondern entfernt auch mehrere Binaries und Skripte eingebettet in Ihren eigenen direkten Zugriff. Unter diesen Elementen ist ein dekoy Dokument - in einem Fall ein Artikel, der auf dem palästinensischen Konflikt ins Arabische übersetzt wird - Israel - und mehrere Geräte, die in einer Kette aktiviert werden, um das Eindringen in immer tiefere Stadien zu bringen.
Eine der auffälligsten Komponenten ist eine ausführbare, dass Forscher RESTLEAF. Diese binäre wird im Speicher ausgeführt und verwendet zum ersten Mal in den Kampagnen, die diesem Schauspieler zugeschrieben werden, Zoho WorkDrive als C2-Mechanismus (Befehl und Kontrolle). RESTLEAF wird mit dem Dienst mit einem gültigen Token authentifiziert, Download shelcode dort gestellt und injiziert es in Prozesse, um spätere Stufen zu laufen, ohne zu viele Spuren auf der Festplatte zu verlassen.
Die Verwendung von Cloud-Speicherplattformen als C2-Vektor ist nicht neu, aber es lenkt die Aufmerksamkeit auf hartnäckige Akteure, die beginnen, weniger massive Dienste unter dem Radar zu nutzen. Wenn Sie die technische Analyse und die von den Entdeckern veröffentlichten Beweise konsultieren möchten, ist der Zscaler-Bericht auf Ihrem Forschungsblog verfügbar ( Hier.), und Zoho WorkDrives offizielle Seite hilft, den Dienst zu verstehen, der im Angriff verwendet wurde ( So geht's!)
Nach der ersten Ausführung setzt RESTLEAF einen Installer ein, auf den die Forscher SNAKEDROPPER nannten. Diese Komponente baut eine autonome Ruby Ausführungsumgebung in der kompromittierten Maschine ein, schafft Beharrlichkeit durch eine geplante Aufgabe und fällt mehrere in Ruby geschriebene Module, einschließlich THUMBSBD und VIRUSTASK. Das Design dieses "mini-platform" Ruby ermöglicht es den Betreibern, erweiterte Funktionen auch in Systemen zu aktivieren, die Ruby bisher nicht installiert haben.
THUMBSBD ist wahrscheinlich der am meisten betroffene Teil der operativen Sicherheitsteams. Es wird als Ruby-Datei präsentiert und seine Spezialität ist die Verbreitung und Platzierung von Systemen, die mit dem Internet verbunden sind und isolierte (air-gapped) Geräte durch USB-Laufwerke und andere abnehmbare Mittel. Wenn Sie das Vorhandensein eines abnehmbaren Speichers erkennen, erstellen Sie versteckte Ordner, um Befehle von den Operatoren ausgegeben zu speichern oder Ergebnisse zu hinterlassen, die dann von einem Computer, der mit dem Netzwerk verbunden wird wiederhergestellt werden.
Aus dieser Position kann THUMBSBD Systeminformationen sammeln, zusätzliche Gebühren von Remoteservern, Exfiltrationsdateien herunterladen und beliebige Aufträge ausführen. Eines der sekundären Binaries, das es installiert ist, ist FOOTWINE, eine verschlüsselte Ladung, die einen Shellcode Launcher und Überwachungsfunktionen beinhaltet: Schlüsselaufzeichnung, Audio- und Videoaufzeichnung und Kommunikation mit einem C2-Server über ein benutzerdefiniertes binäres Protokoll auf TCP. Darüber hinaus verbreitet die Kampagne auch eine Backdoor bekannt als BLUELIGHT, die seit Jahren mit diesem Schauspieler verbunden ist und die auch Cloud-Lieferanten (Google Drive, OneDrive, pCloud, BackBlaze) missbraucht, um Bestellungen zu erhalten und Dateien zu übertragen.
VIRUSTASK hingegen wiederholt Rubys Muster und konzentriert sich speziell auf die Umwandlung von abnehmbaren Einheiten in Infektionsvektoren für Off-Network-Systeme. Während THUMBSBD als Bedienarm (Lauf- und Exfiltration) fungiert, versucht VIRUSTASK, die Fähigkeit von USB-Speichern zu maximieren, Malware in Netzwerksegmente einzutragen, die durch Design isoliert sind.
Was diesen Fall klar macht, ist die Kombination von üblichen Methoden mit modernen Ressourcen: menschliche Deko (false Dokumente), Missbrauch der Windows-Verwaltungsfunktionalität durch PowerShell und LNK, die Verschleierung von Speicherlasten und die Ausbeutung von Cloud-Diensten als legitime Leitungen. Das Ergebnis ist eine Kette von Angriffen in mehreren Stufen, die widerstandsfähig und schwer zu löschen, ohne eine koordinierte Reaktion.
Aus defensiver Sicht sollte man auf mehrere Punkte aufmerksam machen: Überwachung und Analyse des ungewöhnlichen Verhaltens von Prozessen, die PowerShell-Dateien ausführen oder LNK-Dateien manipulieren, Überwachung der Verwendung von Token und Zugriff auf Cloud-Speicher-APIs, strenge Steuerungsrichtlinien und Zugriff auf abnehmbare Mittel und Deaktivierung automatischer Ausführung, soweit möglich. Es ist auch wichtig, dass SOC- und Zwischenreaktionsteams Speicher- und Netzwerktelemetrie-Erkennungen integrieren, um Kommunikationen mit Cloud-Diensten zu identifizieren, die in der Organisation nicht üblich sind.
Wenn Sie eine Pressemitteilung lesen möchten, die die Kampagne aus der Sicht der Informationen zusammenfasst, haben spezialisierte Medien wie BleepingComputer auch die Feststellung und Verstärkung der technischen Schlussfolgerungen des Berichts abgedeckt ( weitere Informationen zu BleepingComputer)
Ruby Jumper erinnert uns daran, dass die Angreifer technische Kreativität mit bekannten Taktiken kombinieren, um Verteidigung zu ziehen.
Die Empfehlung für Manager und Sicherheitsbeamte ist es nicht, die Bedrohung durch abnehmbare Einheiten und die Möglichkeit der Cloud-Dienste als Kontrolltor von persistenten Akteuren zu unterschätzen. Früherkennung, Netzsegmentierung, ordnungsgemäßes Anmeldemanagement und die Verschärfung der Umsetzungspolitiken (insbesondere in Workstations mit Zugang zu externen Dokumenten) bleiben wichtige Maßnahmen zur Minderung solcher Kampagnen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...