Campagna Ruby Jumper APT37 malware air-gapped e cloud
Il gruppo hacker nordcoreano APT37 ha lanciato una sofisticata campagna denominata “Ruby Jumper” che rappresenta un’evoluzione significativa nelle tecniche di attacco informatico. Questa operazione si distingue per l’utilizzo di cinque nuovi malware appositamente progettati per compromettere sistemi air-gapped, ovvero quelli isolati dalla rete per motivi di sicurezza.
I cinque nuovi malware della campagna Ruby Jumper
La campagna Ruby Jumper si basa su un arsenale di cinque distinti malware, ciascuno con funzionalità specifiche per garantire il successo dell’attacco:
- RESTLEAF: Il componente iniziale della catena di infezione
- SNAKEDROPPER: Responsabile del deployment degli altri componenti
- THUMBSBD: L’innovazione principale che trasforma i dispositivi USB in canali di comunicazione
- VIRUSTASK: Gestisce le operazioni di persistenza sul sistema compromesso
- FOOTWINE: Fornisce capacità di sorveglianza avanzate
Questi strumenti lavorano in sinergia per creare un’infrastruttura completa di compromissione che può operare anche su sistemi completamente isolati dalla rete tradizionale.
THUMBSBD: l’innovazione chiave per i sistemi air-gapped
Il componente più rivoluzionario della campagna è THUMBSBD, che introduce un approccio innovativo per comunicare con sistemi isolati. Questo malware trasforma i dispositivi USB rimovibili in veri e propri canali di comunicazione bidirezionali.
Meccanismo di funzionamento di THUMBSBD
THUMBSBD opera attraverso una tecnica particolarmente sofisticata:
- Nasconde i file di comando nella cartella $RECYCLE.BIN del dispositivo USB
- Utilizza questa cartella di sistema per mascherare la comunicazione
- Stabilisce un ponte tra il sistema air-gapped e l’infrastruttura di comando e controllo
- Permette lo scambio di dati anche senza connessione di rete diretta
Questa metodologia rappresenta un’evoluzione significativa nelle tecniche di attacco ai sistemi isolati, tradizionalmente considerati tra i più sicuri.
Sfruttamento dei servizi cloud legittimi come infrastruttura C2
Una delle caratteristiche più preoccupanti della campagna Ruby Jumper è l’utilizzo di servizi cloud legittimi come infrastruttura di comando e controllo. Gli attaccanti sfruttano:
- Zoho WorkDrive: Per la gestione documentale e lo scambio di comandi
- OneDrive: Come repository per i payload e le comunicazioni
- Google Drive: Per l’archiviazione dei dati esfiltrati
- pCloud: Come backup dell’infrastruttura di controllo
Questa strategia rende estremamente difficile il rilevamento dell’attività malevola, poiché il traffico verso questi servizi appare completamente legittimo. I sistemi di sicurezza tradizionali difficilmente bloccano le comunicazioni verso piattaforme cloud ampiamente utilizzate in ambito aziendale.
Vantaggi dell’utilizzo di servizi cloud legittimi
L’uso di servizi cloud mainstream offre agli attaccanti diversi vantaggi strategici:
- Evasione dei sistemi di sicurezza: Il traffico appare legittimo
- Affidabilità dell’infrastruttura: I servizi cloud garantiscono alta disponibilità
- Riduzione dei costi: Non è necessario mantenere server dedicati
- Difficoltà di takedown: È complesso bloccare servizi utilizzati legittimamente
Vettore di attacco iniziale: file LNK malevoli
La campagna Ruby Jumper inizia con una tattica di social engineering particolarmente mirata. Gli attaccanti utilizzano file LNK malevoli camuffati da documenti apparentemente innocui.
Questi file di collegamento sono presentati come:
- Documenti sul conflitto israelo-palestinese
- Materiale tradotto dall’arabo
- Contenuti di apparente interesse geopolitico
- File che sfruttano l’interesse per eventi di attualità
Questa strategia di camuffamento sfrutta la curiosità delle vittime verso argomenti di grande rilevanza mediatica, aumentando significativamente le probabilità che il file malevolo venga aperto.
Processo di infezione attraverso file LNK
Una volta eseguito il file LNK malevolo, si innesca una catena di eventi che porta alla compromissione completa del sistema:
- Il file LNK esegue comandi nascosti nel sistema
- Viene scaricato e installato il primo stage del malware
- I componenti aggiuntivi vengono deployati gradualmente
- Il sistema viene preparato per ricevere i dispositivi USB infetti
Capacità di sorveglianza avanzate
Una volta stabilita la presenza sui sistemi target, la campagna Ruby Jumper dispone di un ampio ventaglio di capacità di sorveglianza che permettono agli attaccanti di mantenere il controllo completo sui sistemi compromessi.
Funzionalità di monitoraggio implementate
Il malware FOOTWINE, in particolare, offre capacità di sorveglianza estremamente avanzate:
- Keylogger avanzato: Registra tutte le digitazioni dell’utente
- Cattura audio: Monitora le conversazioni attraverso il microfono
- Registrazione video: Accede alla webcam per sorveglianza visiva
- Accesso shell remoto: Permette il controllo completo del sistema
- Esfiltrazione dati: Raccoglie e trasmette informazioni sensibili
Queste funzionalità trasformano i sistemi compromessi in vere e proprie stazioni di sorveglianza, permettendo agli attaccanti di raccogliere intelligence dettagliata sulle attività delle vittime.
Persistenza su sistemi isolati
La capacità di mantenere l’accesso a sistemi air-gapped rappresenta una sfida tecnica significativa che APT37 ha risolto attraverso l’innovativo utilizzo dei dispositivi USB. Questa metodologia permette di:
- Mantenere la comunicazione anche senza connettività di rete
- Aggiornare il malware attraverso dispositivi rimovibili
- Estrarre dati sensibili da sistemi completamente isolati
- Stabilire una presenza persistente difficile da rilevare
La campagna Ruby Jumper di APT37 rappresenta un’evoluzione significativa nelle tecniche di attacco informatico, dimostrando come anche i sistemi più isolati e protetti possano essere compromessi attraverso l’utilizzo creativo di vettori di attacco tradizionali come i dispositivi USB. L’integrazione di servizi cloud legittimi come infrastruttura di comando e controllo, combinata con sofisticate capacità di sorveglianza, rende questa campagna particolarmente pericolosa e difficile da rilevare. Le organizzazioni devono implementare controlli rigorosi sui dispositivi rimovibili e monitorare attentamente il traffico verso i servizi cloud, anche quelli considerati legittimi, per proteggersi da questo tipo di minacce avanzate.