Új támadások, új eszközök
Az APT37, más néven ScarCruft vagy InkySquid, Ruby Jumper fedőnéven futó kampányában öt különálló kártevő szerepel: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK és FOOTWINE. Célzott alkalmazásuk révén a támadók a fertőzés legelső lépésétől kezdve rejtve maradhatnak. Először egy rosszindulatú Windows parancsikont (LNK) kell megnyitni, amely egy PowerShell-szkriptet futtat, miközben egy ártalmatlannak látszó, arab nyelvű dokumentummal tereli el a figyelmet.
A RESTLEAF a támadók irányító infrastruktúrájához csatlakozik, és titkosított állományban újabb kódokat tölt le. Ezután telepíti a SNAKEDROPPER nevű, Ruby-alapú programot, amely a Ruby 3.3.0 futtatókörnyezetet juttatja a célgépre, azt USB-vel kapcsolatos szoftvernek álcázva.
Titkos adatlopás és további fertőzés
A THUMBSBD feladata a rendszerinformációk gyűjtése és fájlok rejtett elhelyezése a hordozható adathordozókon – így a pendrive-ok a támadók rejtett parancsainak továbbítására és adatok kicsempészésére is alkalmassá válnak. Érdemes kiemelni, hogy a kártevő csak akkor fertőz, ha az USB-n legalább 2 GB szabad hely található.
A VIRUSTASK azt a célt szolgálja, hogy a fertőzött adathordozót hálózattól elszigetelt gépekre csatlakoztatva tovább terjedjen a kártevő. Az eredeti fájlokat elrejti, helyettük fertőzött parancsikonokat hoz létre, amelyek automatikusan végrehajtják a Ruby-kódot.
A FOOTWINE egy teljes körű kémprogram, amely Windows alatt fut, Android-alkalmazásnak álcázva magát; képes billentyűleütéseket rögzíteni, képernyőképet készíteni, hangot és videót rögzíteni, fájlokat manipulálni, a regisztrációs adatbázishoz hozzáférni, valamint távoli parancsokat fogadni.
Célpontban az Észak-Koreával kapcsolatos média
Ennek következtében az APT37 képes hálózattól elszigetelt hálózatokat feltörni anélkül, hogy közvetlen internetkapcsolatra lenne szükség – a fertőző adathordozók segítségével a célgépekből adatokat szereznek, vagy parancsokat juttatnak el hozzájuk. Érdemes kiemelni, hogy a felhasznált hamis dokumentumok, valamint a támadási módszerek alapján a célba vett szervezetek jelentős érdeklődést mutatnak az észak-koreai média iránt, ami illeszkedik a támadócsoport ismert profiljához.
