ScarCruft Uses Zoho WorkDrive and USB Malware to Breach Air-Gapped Networks

Exploitation des réseaux isolés par ScarCruft via Zoho WorkDrive et des malwares sur clé USB

Le groupe de menace nord-coréen ScarCruft a été identifié comme responsable de nouvelles campagnes d’attaques, baptisées “Ruby Jumper” par Zscaler ThreatLabz. Ces attaques visent à compromettre des réseaux isolés (air-gapped) en utilisant une combinaison d’outils sophistiqués et de méthodes d’infiltration non conventionnelles.

La chaîne d’infection débute généralement par l’ouverture d’un fichier LNK malveillant qui lance une commande PowerShell. Ce script, une fois exécuté, extrait plusieurs charges utiles intégrées, incluant un document leurre (souvent lié à des conflits géopolitiques), un exécutable et d’autres scripts.

L’un des principaux développements observés est l’utilisation du service de stockage cloud Zoho WorkDrive pour les communications de commande et de contrôle (C2) par le malware RESTLEAF. Après authentification avec un jeton d’accès valide, RESTLEAF télécharge et exécute du shellcode via l’injection de processus, déployant ainsi d’autres composants malveillants.

Un élément crucial de cette campagne est la capacité à infecter des systèmes isolés. Le malware THUMBSBD, qui se fait passer pour un fichier Ruby, exploite les supports amovibles (clés USB) pour relayer des commandes et transférer des données entre des systèmes connectés à internet et ceux qui ne le sont pas. Il peut collecter des informations système, télécharger des charges utiles secondaires, exfiltrer des fichiers et exécuter des commandes arbitraires. Lorsqu’un support amovible est détecté, le malware crée un dossier caché pour y stocker les commandes ou les résultats d’exécution.

D’autres malwares déployés incluent :

• SNAKEDROPPER : installe l’environnement d’exécution Ruby et établit la persistance via des tâches planifiées.
• VIRUSTASK : se concentre spécifiquement sur l’utilisation de supports amovibles pour propager le malware vers des systèmes isolés non infectés.
• FOOTWINE : une charge utile chiffrée avec des capacités de enregistrement de frappe (keylogging) et de capture audio/vidéo, communiquant via un protocole personnalisé.
• BLUELIGHT : un backdoor déjà attribué à ScarCruft, qui utilise des fournisseurs de cloud légitimes (Google Drive, Microsoft OneDrive, pCloud, BackBlaze) pour ses communications C2.

Points Clés :

• Utilisation du service cloud Zoho WorkDrive pour les communications C2.
• Exploitation de supports amovibles (clés USB) pour compromettre des réseaux isolés.
• Chaîne d’infection multi-étapes débutant par un fichier LNK.
• Déploiement d’une nouvelle infrastructure d’exécution Ruby.
• Utilisation de malwares polyvalents pour la surveillance et l’exécution de commandes.

Vulnérabilités (non spécifiées dans l’article, mais l’exploitation des réseaux isolés implique généralement des contournements de sécurité plutôt que des vulnérabilités logicielles spécifiques avec des CVE).

Recommandations :

• Surveillance renforcée des périphériques amovibles : mettre en place des politiques strictes concernant l’utilisation des clés USB et scanner rigoureusement tout support avant son utilisation.
• Contrôle des accès aux services cloud : surveiller et restreindre l’utilisation des services cloud par les employés, en particulier pour des applications comme Zoho WorkDrive.
• Segmentation réseau : bien que ciblant des réseaux isolés, le renforcement de la segmentation peut limiter la propagation latérale si une brèche initiale se produit.
• Détection et réponse aux menaces : maintenir à jour les outils de sécurité et les signatures de détection pour identifier les nouveaux outils et techniques de ScarCruft.
• Sensibilisation des utilisateurs : former les employés aux risques liés à l’ouverture de fichiers suspects et à l’utilisation de supports amovibles inconnus.

Source