ScarCruft използва зловреден софтуер Zoho WorkDrive и USB за атаки с въздушен процеп

Въведение: Нова усъвършенствана кампания от групата ScarCruft

Севернокорейската APT групировка, известна като ScarCruft, или APT37, стартира една от най-сложните и добре организирани киберкампании, наблюдавани до момента през 2026 г. Използвайки комбинация от експлоатация на платформа Zoho WorkDrive и атаки с зловреден софтуер на USB Специално проектирани да заразяват системи с въздушна междина, злонамерените лица за пореден път демонстрираха високото ниво на експертиза и постоянство в своите операции по дигитален шпионаж.
Тази офанзива е забележителна със сложния начин, по който атакува различни сегменти от дигиталната верига, компрометирайки както свързани с интернет среди, така и физически изолирани инфраструктури. Основната цел е събирането на чувствителна информация, включително стратегически документи, проектни файлове, вътрешни комуникации и критични оперативни данни на целевите жертви.

Първоначален механизъм на заразяване чрез Zoho WorkDrive

ScarCruft злоупотреби с екосистемата Zoho WorkDrive да доставят злонамерени файлове, маскирани като легитимни документи. Използвайки усъвършенствани техники за социално инженерство, нападателите изпращат връзки към файлове, качени в WorkDrive, експлоатирайки доверието на компаниите в тази платформа за сътрудничество. Жертвите взаимодействат с документите, без да подозират, че те съдържат злонамерени макроси, PowerShell скриптове или експлойти от нулев ден способен да инициира инсталирането на цяла инфраструктура от зловреден софтуер.
Този метод позволява ефективно разпределение и е труден за откриване, тъй като трафикът към WorkDrive често се счита за безобиден от решенията за сигурност. Атаката е перфектен пример за това как доставчиците на услуги... cloud може да се използва за заобикаляне на традиционните защитни механизми.

Вторичен вектор: инфекция на системи с въздушна междина чрез USB

Един от най-впечатляващите компоненти на кампанията ScarCruft е използването на многоетапен USB зловреден софтуер, специално проектирани да компрометират системи с въздушен процеп, т.е. системи, напълно изолирани от всякаква интернет връзка. В напредналите етапи на компрометиране атакуващите поставят специален модул, способен автоматично да се копира върху USB устройства, свързани към заразените системи.
След като USB устройството бъде поставено в компютър в среда с изолирана среда, зловредният софтуер се активира тихо, събира файлове, представляващи интерес, и ги запазва на скрито място. По-късно, когато USB устройството се свърже отново към компрометирана система, свързана с интернет, данните автоматично се прехвърлят към командни и контролни сървъри. Тази техника позволява на нападателите да заобиколят една от най-силните мерки за физическа сигурност, използвани от организациите.

Техническа рамка: използвани компоненти за зловреден софтуер

Анализът на Kaspersky и MSTIC показа, че ScarCruft използва модулна екосистема зловреден софтуер, съобразен с всеки етап от атаката. Сред идентифицираните компоненти са:
първоначален дропър, базиран на обфускирани PowerShell скриптове; кейлогър с обширна функционалност за телеметрия и наблюдение на клипборда; скрит модул за извличане на данни през легитимни канали; полиморфен USB зловреден софтуер, способен да се самомодифицира, за да избегне откриване; скриптове за персистиране, интегрирани в планировчика на задачи и системния регистър. Тази модулна рамка позволява на атакуващите да инсталират само необходимите компоненти, като по този начин намаляват риска от откриване и поддържат дискретен профил в мрежата на жертвата. Всеки модул е ​​криптографски подписан или маскиран под легитимни самоличности, което затруднява криминалистичния анализ.

Експлоатация на Zoho WorkDrive: Модел за скрита инфилтрация

Относно проникването през Zoho WorkDriveScarCruft качва файлове с двойно поведение: отвън изглеждат като маловажни документи, но вътре крият кодирани последователности, които активират изтеглянето на вторичен полезен товар. Трафикът се поставя в инфраструктурата. cloud На компания със силна репутация, решенията за сигурност позволяват прехвърлянето на тези файлове без предупреждение.
В допълнение към тази техника, нападателите използват и механизми верижно кодирано изпълнение на команди, което им позволява да изпълняват PowerShell команди директно от WorkDrive файлове, без да будят подозрение. Резултатът е високо ниво на постоянство, комбинирано с оперативна латентност, което прави кампанията трудна за идентифициране, докато тя вече не е компрометирала критични сегменти от инфраструктурата на жертвата.

Геополитически и рационални цели на групата ScarCruft

ScarCruft е известна с фокуса си върху геополитическия шпионаж, с особен интерес към индустрии като отбрана, напреднали изследвания, ядрена енергетика, телекомуникации и държавни институции. В настоящата кампания посочените цели включват организации в Югоизточна Азия, Централна Европа, Австралия и Съединените щати.
Групата се фокусира върху придобиването на стратегическа информация, която може да подпомогне интересите на севернокорейската държава, както в дипломатическите преговори, така и в разработването на нейните вътрешни програми. Чрез комбиниране на компромиси cloud С усъвършенствани техники за инфилтрация във въздушни междини, ScarCruft демонстрира рядка техническа зрялост, по-скоро характерна за държавни участници с огромни ресурси.

Подробности за това как да се извлече информация

Една от най-иновативните части на тази кампания е начинът, по който се извлича информацията. Вместо да използва неясни канали или персонализирани C2 инфраструктури, ScarCruft разчита на:
прокси сървъри, хоствани в трети страни; криптирани канали, интегрирани в услуги cloud легитимно; инкрементален трансфер на файлове за намаляване на видимостта; фрагментиране на данни за изпращането им на малки сегменти. Тази стратегия значително намалява вероятността система за откриване, базирана на аномалии, да забележи необичайна активност. Атакуващите също така внедряват механизми за самоунищожение на компоненти, останали след изтичане, елиминирайки следи, които биха могли да помогнат на криминалистите.

Сценарий на инфекция за системи с въздушна междина

Типичен сценарий, представен от изследователите, изглежда така: служител изтегля компрометиран документ

е на система, свързана с интернет. Без тяхно знание, той инсталира скрит агент, който следи USB връзките. Когато служителят постави USB памет, която също се използва в среда с въздушен процеп, агентът автоматично копира зловредния софтуер на устройството, в скрита и обфусцирана секция.
Когато стик устройството се премести в изолирана система, полезният товар се активира, сканира цялата машина за чувствителни документи и ги съхранява в криптиран контейнер. При повторно поставяне в компрометирана система, свързана с интернет, данните се извличат тихомълком.

Причините, поради които атаката е толкова ефективна

Ефективността на тази кампания се дължи на три ключови елемента:
Злоупотреба с доверието в услугите cloud легитимни като Zoho. Способността за компрометиране на системи с въздушна междина, традиционно считани за много сигурни. Модулността на зловредния софтуер, адаптивен към всякакъв тип инфраструктура. Тези елементи правят ScarCruft пример за напреднал играч, който разбира не само технологията, но и организационното и човешкото поведение на своите жертви.

Препоръчителни мерки за организациите

Специалистите препоръчват редица основни мерки за предотвратяване на подобни атаки:
Строг анализ на файловете, качени на платформи cloud, включително тези от надеждни източници. Ограничения и разширено наблюдение за използването на USB устройства. Силна сегментация на мрежата и активна изолация на чувствителни системи. Внедряване на EDR и XDR решения с възможности за поведенчески анализ. Разширено обучение за служители относно атаки чрез социално инженерство. Приемането на тези мерки може значително да намали риска от успех на ScarCruft атака, но реалността остава, че APT участниците постоянно ще адаптират техниките си, за да преодолеят защитните механизми.

Заключение

Кампанията ScarCruft от 2026 г. бележи значителна еволюция в APT техниките, насочени към геополитически шпионаж. Експлоатацията на платформата Zoho WorkDrive, комбинирана с възможността за компрометиране на системи с въздушен процеп чрез USB зловреден софтуер, представлява квантов скок, демонстрирайки, че традиционните граници между свързани и изолирани среди вече не са реална бариера за добре подготвените участници.
Тъй като организациите продължават да разчитат на екосистемите cloud И в смесени инфраструктури, тези видове кампании вероятно ще станат по-често срещани. Строгата оценка на цифровата верига, повишената кибер зрялост и инвестициите в адаптивна сигурност стават наложителни за предотвратяване на подобни критични инциденти.

Със сигурност сте разбрали какво е новото в киберсигурността през 2026 г. Ако се интересувате от задълбочаване на знанията си в областта, ви каним да разгледате нашата гама от курсове, структурирани по роли и категории. CYBERSECURITY HUB. Независимо дали тепърва започвате или искате да подобрите уменията си, ние имаме курс за вас.