APT37 стартира Ruby Jumper за пробив на air-gap среди

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Държавно подкрепяната хакерска група APT37, известна още като ScarCruft, Ricochet Chollima и InkySquid, е зад нова сложна кибероперация, насочена към системи с физическа изолация от интернет. Кампанията, наречена Ruby Jumper, използва иновативен инструментариум за прехвърляне на данни между свързани към интернет и изолирани (air-gapped) среди чрез сменяеми носители и прикрити механизми за командване и контрол.

Анализът е публикуван от експертите на Zscaler, които идентифицират координирана верига от зловредни компоненти, предназначени да заобикалят физическата изолация на критични системи.

Какво представляват air-gap средите и защо са мишена

Air-gapped компютрите са физически изолирани от външни мрежи – включително интернет – чрез премахване на Wi-Fi, Bluetooth и Ethernet свързаност. Подобни среди са характерни за критична инфраструктура, военни структури и изследователски центрове.

В тези случаи трансферът на данни се извършва чрез USB устройства или други сменяеми носители – именно този механизъм се превръща в ключов вектор в Ruby Jumper.

Инфекционната верига – от LNK файл до скрит C2 канал

Атаката започва с отваряне на зловреден Windows shortcut (LNK) файл. Той активира PowerShell скрипт, който:

  • извлича вградени полезни товари

  • стартира примамлив документ, за да отклони вниманието на жертвата

Примамката представлява арабски превод на севернокорейска медийна публикация за конфликта Израел – Палестина, което подсказва внимателно профилиране на целите.

Първият имплант – RESTLEAF – осъществява комуникация с командно-контролна инфраструктура чрез облачната услуга Zoho WorkDrive. Следващият етап включва зареждане на Ruby-базиран loader – SNAKEDROPPER.

Злоупотреба с Ruby среда и устойчивост чрез планирани задачи

Атаката инсталира Ruby 3.3.0 runtime среда, маскирана като легитимен USB инструмент с име usbspeed.exe. Зловредният код подменя стандартен RubyGems файл (operating_system.rb), който автоматично се изпълнява при стартиране на интерпретатора.

Чрез планирана задача (rubyupdatecheck), активираща се на всеки пет минути, се гарантира устойчив достъп и изпълнение на зловредните компоненти.

THUMBSBD – мостът през физическата изолация

Ключовият инструмент THUMBSBD събира системна информация, подготвя файлове за ексфилтрация и създава скрити директории в USB устройства.

Най-опасната му функция е превръщането на сменяемите носители в двупосочен прикрит C2 канал.

По този начин нападателите могат:

  • да изпращат команди към изолирани системи

  • да извличат данни от тях при повторно свързване към интернет-среда

Това ефективно „прескача“ физическата бариера на air-gap архитектурата.

VIRUSTASK и FOOTWINE – разпространение и шпионаж

Модулът VIRUSTASK заразява нови air-gapped машини чрез:

  • скриване на легитимни файлове в USB устройството

  • замяната им със зловредни LNK преки пътища

Инфекцията се активира само ако носителят има минимум 2GB свободно пространство – индикатор за селективна логика.

Допълнително THUMBSBD доставя FOOTWINE – Windows spyware бекдор, маскиран като Android APK файл. Той поддържа:

  • кийлогинг

  • заснемане на екрана

  • аудио и видео запис

  • файлови манипулации

  • достъп до системния регистър

  • отдалечени shell команди

В кампанията е засечен и BLUELIGHT – познат бекдор, свързван с APT37, което допълнително укрепва атрибуцията.

Атрибуция и стратегически контекст

Zscaler изразява висока степен на увереност, че Ruby Jumper е дело на APT37, базирайки се на:

  • използването на BLUELIGHT

  • характерната LNK начална инфекция

  • двустепенна shellcode доставка

  • позната C2 инфраструктура

Примамният документ подсказва, че целите проявяват интерес към севернокорейски медийни наративи – профил, съвпадащ с историческите мишени на групата.

Стратегическо значение на Ruby Jumper

Ruby Jumper демонстрира качествено нов етап в операциите срещу изолирани среди. Вместо директен мрежов пробив, атаката експлоатира човешкия фактор и физическите трансферни процеси.

Физическата изолация вече не е достатъчна гаранция за сигурност.

За организациите в критични сектори това означава:

  • засилен контрол върху сменяемите носители

  • мониторинг на LNK изпълнения

  • ограничаване на PowerShell

  • строги политики за USB устройства

  • поведенчески анализ за аномалии в планирани задачи

Ruby Jumper е показателен пример за това как държавно подкрепяни групи инвестират в техники за преодоляване на последната линия на защита – физическата сегментация.

#air-gap атака, # APT37, # Ruby Jumper, # USB зловреден софтуер, # севернокорейски хакери
e-security.bg

Подобни

Silent Ransom Group засилва атаките срещу адвокатски кантори
8.06.2026
thankyoufantasypictures-ai-generated-8705387_640
Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy