askformore@bittnet.ro
Заняття за розкладом

ScarCruft використовує шкідливе програмне забезпечення Zoho WorkDrive та USB для атак через повітряний проміжок

Вступ: Нова просунута кампанія від групи ScarCruft

Північнокорейська група APT, відома як ScarCruft, або APT37, розпочала одну з найскладніших та найдобре організованих кіберкампаній, що спостерігалися на сьогоднішній день, у 2026 році. Використовуючи комбінацію платформи, що використовувала Zoho WorkDrive та атаки з шкідливе програмне забезпечення на USB-накопичувачі Спеціально розроблені для зараження систем цифрового шпигунства, зловмисники вкотре продемонстрували високий рівень майстерності та наполегливості у своїх операціях цифрового шпигунства.
Цей наступ відрізняється витонченим способом атаки на різні сегменти цифрового ланцюга, компрометуючи як підключені до Інтернету середовища, так і фізично ізольовані інфраструктури. Головна мета — збір конфіденційної інформації, включаючи стратегічні документи, файли проектів, внутрішні комунікації та критично важливі операційні дані цільових жертв.

Початковий механізм зараження через Zoho WorkDrive

ScarCruft зловживав екосистемою Zoho WorkDrive для доставки шкідливих файлів, замаскованих під легітимні документи. Використовуючи передові методи соціальної інженерії, зловмисники надсилають посилання на файли, завантажені на WorkDrive, експлуатуючи довіру компаній до цієї платформи для спільної роботи. Жертви взаємодіють з документами, не підозрюючи, що вони містять шкідливі макроси, Скрипти PowerShell або експлойти нульового дня здатний ініціювати встановлення цілої інфраструктури шкідливого програмного забезпечення.
Цей метод забезпечує ефективний розподіл і його важко виявити, оскільки трафік до WorkDrive часто вважається безпечним засобами безпеки. Ця атака є прекрасним прикладом того, як постачальники послуг cloud можна використовувати для обходу традиційних захисних механізмів.

Вторинний вектор: зараження систем повітряного зазору через USB

Одним із найвражаючих компонентів кампанії ScarCruft є використання багатоетапне USB-шкідливе програмне забезпечення, спеціально розроблений для компрометації систем з повітряним проміжком, тобто систем, повністю ізольованих від будь-якого підключення до Інтернету. Зловмисники розміщують спеціальний модуль на просунутих стадіях компрометації, здатний автоматично копіювати себе на USB-накопичувачі, підключені до заражених систем.
Після того, як флешку вставляють у комп'ютер у середовищі «повітряного проміжку», шкідливе програмне забезпечення непомітно активується, збирає файли, що цікавлять, та зберігає їх у прихованому місці. Пізніше, коли USB-пристрій знову підключається до скомпрометованої системи, підключеної до Інтернету, дані автоматично передаються на сервери керування та контролю. Цей метод дозволяє зловмисникам обійти один із найсильніших заходів фізичної безпеки, що використовуються організаціями.

Технічна база: використані компоненти шкідливого програмного забезпечення

Аналіз Касперського та MSTIC показав, що ScarCruft використовує модульна екосистема шкідливе програмне забезпечення, адаптоване для кожного етапу атаки. Серед виявлених компонентів:
початковий дроппер на основі обфускованих скриптів PowerShell; кейлогер з розширеними функціями телеметрії та моніторингу буфера обміну; прихований модуль для вилучення даних через легітимні канали; поліморфне USB-шкідливе програмне забезпечення, здатне самомодифікуватися, щоб уникнути виявлення; скрипти персистентності, інтегровані в планувальник завдань та реєстр. Ця модульна структура дозволяє зловмисникам встановлювати лише необхідні компоненти, тим самим знижуючи ризик виявлення та підтримуючи прихований профіль у мережі жертви. Кожен модуль криптографічно підписаний або замаскований під легітимними ідентифікаторами, що ускладнює судово-медичний аналіз.

Експлуатація Zoho WorkDrive: прихована модель проникнення

Щодо проникнення через Zoho WorkDriveScarCruft завантажує файли з подвійною поведінкою: зовні вони здаються неважливими документами, але всередині приховують закодовані послідовності, які активують завантаження вторинного корисного навантаження. Трафік розміщується в інфраструктурі cloud компанії з бездоганною репутацією, рішення безпеки дозволяють передавати ці файли без попередження.
Окрім цієї техніки, зловмисники також використовують механізми ланцюжок закодованих команд, що дозволяє їм запускати команди PowerShell безпосередньо з файлів WorkDrive, не викликаючи підозр. Результатом є високий рівень стійкості в поєднанні з операційною затримкою, що ускладнює ідентифікацію кампанії, доки вона вже не скомпрометує критичні сегменти інфраструктури жертви.

Геополітичні та раціональні цілі групи ScarCruft

ScarCruft відомий своєю зосередженістю на геополітичному шпигунстві, з особливим інтересом до таких галузей, як оборона, передові дослідження, ядерна енергетика, телекомунікації та державні установи. У поточній кампанії заявлені цілі включають організації в Південно-Східній Азії, Центральній Європі, Австралії та Сполучених Штатах.
Група зосереджується на отриманні стратегічної інформації, яка може підтримувати інтереси північнокорейської держави, або в дипломатичних переговорах, або в розвитку її внутрішніх програм. Поєднуючи компроміс cloud Завдяки передовим методам інфільтрації повітряних зазорів, ScarCruft демонструє рідкісну технічну зрілість, досить характерну для державних суб'єктів з величезними ресурсами.

Деталі про те, як витягти дані

Одним із найінноваційніших аспектів цієї кампанії є спосіб вилучення інформації. Замість використання маловідомих каналів або спеціалізованих інфраструктур C2, ScarCruft спирається на:
проксі-сервери, розміщені в третіх країнах; зашифровані канали, інтегровані в сервіси cloud легітимність; інкрементальна передача файлів для зменшення видимості; фрагментація даних для надсилання їх невеликими сегментами. Ця стратегія значно зменшує ймовірність того, що система виявлення аномалій помітить незвичайну активність. Зловмисники також впроваджують механізми самознищення для компонентів, що залишилися після вилучення, усуваючи сліди, які могли б допомогти судовим аналітикам.

Сценарій зараження для систем з повітряним зазором

Типовий сценарій, представлений дослідниками, виглядає так: співробітник завантажує скомпрометований документ

знаходиться на системі, підключеній до Інтернету. Непомітно для них, він встановлює прихований агент, який контролює USB-з'єднання. Коли працівник вставляє USB-носій, який також використовується в середовищі повітряного проміжку, агент автоматично копіює шкідливе програмне забезпечення на пристрій у прихованому та завуальованому розділі.
Коли флешку переміщують у захищену систему, корисне навантаження активується, сканує всю машину на наявність конфіденційних документів і зберігає їх у зашифрованому контейнері. Після повторного вставки у скомпрометовану систему, підключену до Інтернету, дані непомітно вилучаються.

Причини, чому атака така ефективна

Ефективність цієї кампанії залежить від трьох ключових елементів:
Використання довіри до послуг cloud легітимні, такі як Zoho. Здатність порушувати системи з захистом від шкідливих програм, які традиційно вважаються дуже безпечними. Модульність шкідливого програмного забезпечення, що адаптується до будь-якого типу інфраструктури. Ці елементи роблять ScarCruft прикладом передового гравця, який розуміє не лише технології, але й організаційну та людську поведінку своїх жертв.

Рекомендовані заходи для організацій

Фахівці рекомендують низку важливих заходів для запобігання подібним нападам:
Ретельний аналіз файлів, завантажених на платформи cloud, зокрема з перевірених джерел. Обмеження та розширений моніторинг використання USB-пристроїв. Сильна сегментація мережі та активна ізоляція чутливих систем. Впровадження рішень EDR та XDR з можливостями поведінкового аналізу. Поглиблене навчання співробітників атакам соціальної інженерії. Вжиття цих заходів може суттєво знизити ризик успіху атаки ScarCruft, але реальність залишається такою, що учасники APT постійно адаптуватимуть свої методи для подолання захисних механізмів.

Висновок

Кампанія ScarCruft 2026 року знаменує собою значну еволюцію в методах APT, спрямованих на геополітичне шпигунство. Експлуатація платформи Zoho WorkDrive у поєднанні з можливістю компрометації систем повітряного простору за допомогою шкідливого програмного забезпечення USB являє собою квантовий стрибок, демонструючи, що традиційні межі між підключеними та ізольованими середовищами більше не є реальним бар'єром для добре підготовлених акторів.
Оскільки організації продовжують покладатися на екосистеми cloud а на змішаних інфраструктурах такі кампанії, ймовірно, стануть більш поширеними. Ретельна оцінка цифрового ланцюга, підвищення кіберзрілості та інвестиції в адаптивну безпеку стають вкрай необхідними для запобігання таким критичним інцидентам.

Ви точно зрозуміли, що нового в кібербезпеці у 2026 році. Якщо ви зацікавлені в поглибленні своїх знань у цій галузі, запрошуємо вас ознайомитися з нашим асортиментом курсів, структурованих за ролями та категоріями. CYBERSECURITY HUB. Якщо ви тільки починаєте чи хочете вдосконалити свої навички, у нас є курс для вас.