{"id":9059,"date":"2026-03-08T18:32:03","date_gmt":"2026-03-08T17:32:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=9059"},"modified":"2026-03-08T18:32:03","modified_gmt":"2026-03-08T17:32:03","slug":"apt37-ruby-jumper-kampanja","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/","title":{"rendered":"APT37: Ruby Jumper kampanja za napad na izolovane sisteme"},"content":{"rendered":"<p>U kampanji <em>Ruby Jumper<\/em>, <em>APT37<\/em> grupa koristi <em>Zoho WorkDrive<\/em> i <em>USB<\/em> zlonamjerni softver kako bi uspostavila postojanost u ciljanim okru\u017eenjima, pokazuje <a href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/apt37-adds-new-capabilities-air-gapped-networks\" target=\"_blank\" rel=\"noopener\">istra\u017eivanje <em>Zscaler ThreatLabz<\/em><\/a>. Grupa se oslanja na servise skladi\u0161tenja u oblaku kao novu taktiku za <em>C2<\/em> komunikaciju, dok istovremeno iskori\u0161tava izolovane sisteme kroz bo\u010dno kretanje olak\u0161ano ugro\u017eenim <em>USB<\/em> medijima.<\/p>\n<div id=\"attachment_9060\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-9060\" class=\"size-full wp-image-9060\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign.jpg\" alt=\"RUBY JUMPER\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/03\/RUBY-JUMPER-campaign-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-9060\" class=\"wp-caption-text\"><em>APT37: Ruby Jumper kampanja za napad na izolovane sisteme; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#KAMPANJA_RUBY_JUMPER\" >KAMPANJA RUBY JUMPER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#Ciljevi_kampanje\" >Ciljevi kampanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#APT37_GRUPA\" >APT37 GRUPA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#UTICAJ\" >UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2026\/03\/08\/apt37-ruby-jumper-kampanja\/#PREPORUKE\" >PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"KAMPANJA_RUBY_JUMPER\"><\/span><strong>KAMPANJA <em>RUBY JUMPER<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">Napredna trajna prijetnja<\/a> <em>APT37<\/em> koristi vi\u0161estepeni skup alata za probijanje izolovanih sistema i sprovo\u0111enje dubinskog nadzora. U svojoj kampanji pod nazivom <em>Ruby<\/em> <em>Jumper<\/em>, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> iskori\u0161tavaju prenosive medije, programski jezik <em>Ruby<\/em> i usluge u oblaku kako bi ostvarili kontrolu nad ciljnim mre\u017eama. Ovaj vektor napada omogu\u0107ava premje\u0161tanje podataka i komandi izme\u0111u mre\u017ea povezanih na internet i izolovanih sistema, uz kori\u0161tenje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">alata za tajni pristup<\/a> (eng. <em>backdoor<\/em>) i nadzor.<\/p>\n<p>Kampanja <em>Ruby Jumper<\/em> je detaljno dokumentovana od strane <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnih istra\u017eiva\u010da<\/a>, koji su u decembru 2025. godine identifikovali upotrebu zlonamjernih <em>Windows<\/em> pre\u010dica (<em>LNK<\/em>) datoteka kao po\u010detnog vektora napada. Cilj kampanje je uspostavljanje trajnog prisustva unutar ugro\u017eenih sistema, \u010dime se olak\u0161ava kra\u0111a osjetljivih informacija.<\/p>\n<p>Iskori\u0161tavanje prenosivih medija predstavlja klju\u010dnu komponentu <em>Ruby Jumper<\/em> kampanje. Na ovaj na\u010din zlonamjerni akteri \u0161ire <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> putem <em>USB<\/em> ure\u0111aja, odr\u017eavaju pristup ugro\u017eenim sistemima i prate njihove aktivnosti u stvarnom vremenu. Dodatnu prikrivenost i otpornost napadu pru\u017ea kori\u0161tenje usluga u oblaku, posebno <em>Zoho WorkDrive<\/em>.<\/p>\n<p>Novo dokumentovane komponente <em>RESTLEAF<\/em>, <em>SNAKEDROPPER<\/em>, <em>THUMBSBD<\/em>, <em>VIRUSTASK<\/em>, <em>FOOTWINE<\/em> i <em>BLUELIGHT<\/em> alat za tajni ristup funkcioni\u0161u zajedno kako bi odr\u017eale pristup, \u0161irile zlonamjerni softver preko <em>USB<\/em> medija i pratile ugro\u017eene ure\u0111aje. Ovaj vi\u0161estepeni skup alata osmi\u0161ljen je da izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama, dok istovremeno uspostavlja sna\u017enu infrastrukturu nadzora unutar ciljanih sistema.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kao \u0161to je ve\u0107 re\u010deno, <em>Ruby Jumper<\/em> kampanja zasniva se na vi\u0161estepenom nizu metoda kojima se ostvaruje ulazak u sistem, odr\u017eavanje prisustva i \u0161irenje na nove doma\u0107ine. Prvi korak u napadu ostvaruje se kroz posebno pripremljene <em>LNK<\/em> datoteke isporu\u010dene kori\u0161tenjem <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\">ciljane elektronske po\u0161te<\/a> ili ugro\u017eenih internet lokacija. One pokre\u0107u <em>PowerShell<\/em> skripte koje iz datoteke izvla\u010de skrivene sadr\u017eaje i u memoriji formiraju izvr\u0161ni k\u00f4d poznat kao <em>RESTLEAF<\/em>. Istovremeno se prikazuje la\u017eni dokument sa temom vijesti, \u010dime se \u017ertva navodi da povjeruje u legitimnost otvaranja datoteke. <em>PowerShell<\/em> skripta se sama pronalazi u direktorijumu na osnovu veli\u010dine datoteke i ostavlja signalne zapise u <em>Zoho WorkDrive<\/em> direktorijumu, \u0161to zlonamjernim akterima daje potvrdu o aktivnoj infekciji.<\/p>\n<p><em>RESTLEAF<\/em> zatim preuzima ulogu prvog stalnog softvera unutar <em>Windows<\/em> okru\u017eenja. On koristi unaprijed ugra\u0111ene tokene za pristup <em>Zoho WorkDrive<\/em> servisu, odakle povla\u010di dodatne k\u00f4dove i odr\u017eava vezu sa zlonamjernim akterima. Ovakav na\u010din oslanjanja na usluge u oblaku omogu\u0107ava trajno prisustvo i prenos podataka, \u010dak i kada je po\u010detni vektor uklonjen. Signalne datoteke koje se upisuju u odre\u0111ene direktorijume slu\u017ee kao pokazatelj stanja i komunikacije izme\u0111u inficiranog sistema i kontrolne infrastrukture.<\/p>\n<p>Nakon toga se aktivira <em>SNAKEDROPPER<\/em>, koji ima zadatak da u sistem postavi <em>Ruby<\/em> okru\u017eenje. On ubrizgava k\u00f4d u memoriju i pokre\u0107e <em>RESTLEAF<\/em>, ali istovremeno priprema teren za dodatne programe poput <em>THUMBSBD<\/em> i <em>VIRUSTASK<\/em>. <em>Ruby<\/em> se koristi kao sredstvo za prikrivanje, jer se zlonamjerni sadr\u017eaji predstavljaju kao legitimne <em>Ruby<\/em> datoteke. <em>SNAKEDROPPER<\/em> mijenja odre\u0111ene <em>Ruby<\/em> datoteke i dodaje nove binarne datoteke koje zapravo sadr\u017ee k\u00f4d za dalja izvr\u0161avanja. Uz to, postavlja zadatak u rasporedu koji svakih pet minuta pokre\u0107e la\u017enog tuma\u010da, \u010dime se obezbje\u0111uje stalno prisustvo.<\/p>\n<p><em>THUMBSBD<\/em> se pojavljuje kao centralni softver za prenos podataka u mre\u017eama koje nemaju direktnu vezu sa internetom. On se maskira kao <em>Ruby<\/em> datoteka i koristi <em>USB<\/em> medije za razmjenu komandi i izvla\u010denje podataka. Informacije o stanju sistema \u010duva u posebnoj konfiguracionoj datoteci, a operacije raspore\u0111uje kroz vi\u0161e direktorijuma. Kada se priklju\u010di <em>USB<\/em>, <em>THUMBSBD<\/em> koristi skrivene direktorijume da bi postavio komande i sa\u010duvao rezultate, koje operateri kasnije prenose u izolovano okru\u017eenje.<\/p>\n<p><em>VIRUSTASK<\/em> je namijenjen \u0161irenju alata preko prenosivih medija. On prati svoje prisustvo kroz zapise u registru i na <em>USB<\/em> mediju formira skrivene direktorijume u koje smije\u0161ta izvr\u0161ne datoteke i <em>Ruby<\/em> skripte. Originalne datoteke korisnika zamjenjuje pre\u010dicama koje neprimjetno pokre\u0107u zlonamjerno okru\u017eenje. Na taj na\u010din se kampanja prenosi na nove doma\u0107ine bez potrebe za mre\u017enom vezom.<\/p>\n<p>U zavr\u0161noj fazi pojavljuju se dodatni programi poput <em>FOOTWINE<\/em> i <em>BLUELIGHT<\/em>. Oni pro\u0161iruju mogu\u0107nosti nadzora kroz snimanje tastature, zvuka i slike, \u010dime se prikupljaju podaci sa inficiranih ure\u0111aja. Ovi alati rade zajedno sa prethodno instaliranim komponentama, odr\u017eavaju pristup i omogu\u0107avaju dalja posmatranja. Kombinovanjem la\u017enih <em>LNK<\/em> datoteka, <em>PowerShell<\/em> skripti, <em>Ruby<\/em> okru\u017eenja i <em>USB<\/em> medija, <em>Ruby<\/em> <em>Jumper<\/em> kampanja obezbje\u0111uje dugotrajno prisustvo i prenos podataka u razli\u010ditim uslovima rada sistema.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ciljevi_kampanje\"><\/span><strong>Ciljevi kampanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Primije\u0107eno je da kampanja <em>Ruby Jumper<\/em> usmjerava svoje aktivnosti ka organizacijama koje posluju u osjetljivim i izolovanim okru\u017eenjima. Me\u0111u njima se izdvajaju vladine agencije, izvo\u0111a\u010di u oblasti odbrane i dobavlja\u010di klju\u010dne infrastrukture, naro\u010dito oni koji imaju ulogu u me\u0111unarodnim odnosima, bezbjednosnoj politici i odbrani. Poseban naglasak stavljen je na ciljeve povezane sa interesima Demokratske Narodne Republike Koreje, \u0161to ukazuje na strate\u0161ki pristup grupe <em>APT37<\/em>, odgovorne za ovu kampanju.<\/p>\n<p>Mamci u obliku dokumenata, tematski vezani za aktuelne geopoliti\u010dke doga\u0111aje, dodatno potvr\u0111uju pa\u017eljivo osmi\u0161ljenu taktiku. Njihova svrha je da privuku pojedince zainteresovane za narative koji se odnose na Sjevernu Koreju, kao i zajednice koje koriste arapski jezik. Takva selekcija ukazuje na detaljno poznavanje potencijalnih \u017ertava, gdje se odre\u0111ene grupe unutar organizacija prepoznaju kao mete od posebne vrijednosti.<\/p>\n<p>Strategija <em>APT37<\/em> obuhvata slo\u017eeno razumijevanje operativnog okru\u017eenja i psiholo\u0161kih faktora koji uti\u010du na mete. Ovakav pristup pokazuje kapacitet grupe u prikupljanju obavje\u0161tajnih podataka i planiranju, \u0161to je \u010dini jednim od naprednijih zlonamjernih aktera u ovoj oblasti. Njihova sposobnost da pove\u017eu tehni\u010dke i dru\u0161tvene elemente u ciljanju \u017ertava svjedo\u010di o visokom stepenu prilagodljivosti.<\/p>\n<p>Posebno zabrinjava taktika usmjerena na ugro\u017eavanje izolovanih sistema. Kori\u0161tenje <em>USB<\/em> zlonamjernog softvera omogu\u0107ava premo\u0161tavanje jaza izme\u0111u sistema povezanih na internet i izolovanih okru\u017eenja, \u010dime se otvara mogu\u0107nost kra\u0111e osjetljivih podataka iz prostora koji su se ranije smatrali sigurnim. Ova metoda nagla\u0161ava ozbiljnost prijetnje i ukazuje na dugoro\u010dnu strategiju grupe <em>APT37<\/em>.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"APT37_GRUPA\"><\/span><strong><em>APT37<\/em> GRUPA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>APT37<\/em> je sjevernokorejska napredna trajna prijetnja za koju se vjeruje da djeluje pod upravom Generalnog izvi\u0111a\u010dkog biroa, nacionalne obavje\u0161tajne agencije odgovorne za sajber ratovanje. Njene operacije usko su uskla\u0111ene sa geopoliti\u010dkim i vojnim strategijama Sjeverne Koreje. <em>APT37<\/em> je aktivna najmanje od 2012. godine i poznata je pod vi\u0161e pseudonima, uklju\u010duju\u0107i <em>APT-C-28<\/em>, <em>ATK4<\/em>, <em>G0067<\/em>, <em>Group<\/em> <em>123<\/em>, <em>InkySquid<\/em>, <em>Moldy<\/em> <em>Pisces<\/em>, <em>Reaper<\/em>, <em>Reaper<\/em> <em>Group<\/em>, <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/16\/redeyes-zloupotreba-lnk-datoteka\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Red<\/em> <em>Eyes<\/em><\/a>, <em>Ricochet<\/em> <em>Chollima<\/em>, <em>ScarCruft<\/em> i <em>Venus<\/em> <em>121<\/em>.<\/p>\n<p>\u010clanovi grupe su visokokvalifikovani operativci specijalizovani za razvoj zlonamjernog softvera, razvoj metoda iskori\u0161tavanja ranjivosti i prikupljanje obavje\u0161tajnih podataka, a izvje\u0161taji ukazuju na zna\u010dajno preklapanje izme\u0111u sajber aktivnosti koje sponzori\u0161e sjevernokorejska dr\u017eava, a koje su pra\u0107ene pod imenom <em>Lazarus Group<\/em>.<\/p>\n<p>Od 2017. godine <em>APT37<\/em> je pro\u0161irila svoje ciljanje van Ju\u017ene Koreje, obuhvataju\u0107i Japan, Vijetnam i Bliski istok. Fokus je stavljen na razli\u010dite industrijske vertikale kao \u0161to su hemijska, elektronska, proizvodna, vazduhoplovna, automobilska i zdravstvena industrija. Njihove kampanje koristile su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>i napredna iskori\u0161tavanja ranjivosti <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> kako bi se infiltrirale u mete, koriste\u0107i tehnike dru\u0161tvenog in\u017eenjeringa za dobijanje po\u010detnog pristupa, nakon \u010dega slijedi raspore\u0111ivanje zlonamjernog softvera putem ugro\u017eenih platformi ili distribucija prilago\u0111enih alata dizajniranih za odre\u0111ene ciljeve.<\/p>\n<p>Motivacije grupe usmjerene su na \u0161pijuna\u017eu, a ne na finansijsku dobit. Njihove operacije podr\u017eavaju strate\u0161ke ciljeve Sjeverne Koreje u odbrani, bezbjednosti i nadzoru, kako u regionalnom tako i u globalnom kontekstu. <em>APT37<\/em> je pokazala sposobnost prilago\u0111avanja taktike tokom vremena, razvijaju\u0107i se od ciljanja prvenstveno javnog sektora u Ju\u017enoj Koreji do \u0161irenja u razne industrije \u0161irom svijeta.<\/p>\n<p>Upotreba prilago\u0111enih alata za zlonamjerni softver, osmi\u0161ljenih za specifi\u010dne ciljeve, izdvaja ih od drugih zlonamjernih aktera. Primjeri uklju\u010duju <em>Operation Daybreak<\/em>, fokusiran na iskori\u0161tavanje ranjivosti u industrijskim kontrolnim sistemima, i <em>Operation<\/em> <em>Erebus<\/em>, usmjeren na ugro\u017eavanje visokoprofilnih meta. Sposobnost <em>APT37<\/em> da djeluje \u201c<em>ispod radara\u201d<\/em>, uz odr\u017eavanje konstantnog nivoa slo\u017eenosti u svojim operacijama, nagla\u0161ava njen status jedne od najsposobnijih sjevernokorejskih sajber jedinica koje sponzori\u0161e dr\u017eava. Tokom vi\u0161e od decenije prisustva na globalnom pejza\u017eu <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, grupa je pokazala zna\u010dajne kapacitete u razli\u010ditim sektorima i regionima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Uticaj kampanje <em>Ruby Jumper<\/em>, koju izvodi <em>APT37<\/em>, posebno se osje\u0107a u naru\u0161avanju povjerenja u izolovane sisteme. Ovi sistemi su dugo smatrani sigurnim zbog odsustva direktne mre\u017ene povezanosti, ali <em>Ruby Jumper<\/em> kampanja pokazuje da prenosivi mediji mogu postati kanal za prenos komandi i podataka. Time se bri\u0161e granica izme\u0111u zatvorenih i otvorenih okru\u017eenja, \u0161to mijenja na\u010din na koji se procjenjuje sigurnost u osjetljivim sektorima.<\/p>\n<p><em>APT37<\/em> kroz <em>Ruby<\/em> <em>Jumper<\/em> kampanju koristi usluge u oblaku kao sredstvo za odr\u017eavanje prisustva i komunikacije. Kada se legitimni servisi pretvore u kanale za nadzor, ote\u017eava se njihovo razlikovanje od uobi\u010dajenih poslovnih procesa. Ovakav pristup uti\u010de na povjerenje u komercijalne alate i pokazuje da oni mogu postati instrumenti za dugotrajno prisustvo u mre\u017eama, \u0161to mijenja odnos prema svakodnevnim digitalnim servisima.<\/p>\n<p>Uticaj <em>Ruby Jumper<\/em> kampanje ogleda se i u povezivanju tehni\u010dkih i dru\u0161tvenih faktora. Mamci u obliku dokumenata sa temama vezanim za geopoliti\u010dke doga\u0111aje privla\u010de pa\u017enju pojedinaca i organizacija koje se bave osjetljivim pitanjima. Time <em>APT37<\/em> ne djeluje samo kroz tehni\u010dke metode, ve\u0107 zadire u psiholo\u0161ke i informacione tokove, pove\u0107avaju\u0107i rizik od gubitka podataka od strate\u0161ke vrijednosti.<\/p>\n<p>Poseban sloj uticaja odnosi se na sektore odbrane, bezbjednosti i me\u0111unarodnih odnosa. <em>Ruby<\/em> <em>Jumper<\/em> kampanja <em>APT37<\/em> grupe mo\u017ee dovesti do gubitka povjerljivih informacija i naru\u0161avanja operativnih planova, \u0161to direktno uti\u010de na sposobnost dr\u017eava da za\u0161tite klju\u010dne interese. Takav uticaj ima potencijal da oslabi stabilnost u regionalnom i globalnom kontekstu.<\/p>\n<p><em>Ruby<\/em> <em>Jumper<\/em> pokazuje da izolovani sistemi nisu imuni na napade, \u0161to uti\u010de na otpornost organizacija. Kada se otkrije da prenosivi mediji mogu poslu\u017eiti kao most izme\u0111u mre\u017ea, dolazi do preispitivanja postoje\u0107ih sigurnosnih modela. Time se stvara pritisak na institucije da razmi\u0161ljaju o novim pristupima za\u0161titi, dok se istovremeno pove\u0107ava osje\u0107aj nesigurnosti u okru\u017eenjima koja su se ranije smatrala za\u0161ti\u0107enim.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>Ruby Jumper<\/em> kampanja pokazuje slo\u017eenost pristupa koji <em>APT37<\/em> koristi u svojim operacijama. Vi\u0161estepeni niz alata, oslonjen na prenosive medije i usluge u oblaku, otkriva pa\u017eljivo osmi\u0161ljenu strategiju koja se ne oslanja na jedan vektor, ve\u0107 na kombinaciju metoda koje se me\u0111usobno nadopunjuju. Time se stvara okvir u kojem tehni\u010dke komponente djeluju zajedno, grade\u0107i zlonamjerni sistem koji je otporan na uobi\u010dajene mjere za\u0161tite.<\/p>\n<p>Uloga <em>APT37<\/em> u oblikovanju ovakvih operacija ukazuje na dugogodi\u0161nje iskustvo i sposobnost da se prilagodi razli\u010ditim okru\u017eenjima. Njihova povezanost sa dr\u017eavnim strukturama i uskla\u0111enost sa \u0161irim geopoliti\u010dkim ciljevima daje dodatnu te\u017einu kampanjama koje sprovode. <em>Ruby Jumper<\/em> kampanja se uklapa u taj obrazac, gdje tehni\u010dki elementi nisu izolovani, ve\u0107 dio \u0161ireg plana koji obuhvata i politi\u010dke interese.<\/p>\n<p>Kampanja <em>Ruby Jumper<\/em> otvara pitanje granica izme\u0111u zatvorenih i otvorenih sistema. Kada se poka\u017ee da izolovani sistemi mogu biti obuhva\u0107eni slo\u017eenim operacijama, mijenja se na\u010din na koji se posmatra njihova sigurnost. <em>APT37<\/em> je kroz ovu kampanju demonstrirala da se barijere izme\u0111u mre\u017ea mogu zaobi\u0107i, \u0161to ukazuje na promjenu u razumijevanju za\u0161tite osjetljivih okru\u017eenja.<\/p>\n<p>U \u0161irem kontekstu, <em>Ruby Jumper<\/em> se mo\u017ee posmatrati kao primjer kako se tehni\u010dki alati povezuju sa dru\u0161tvenim i politi\u010dkim faktorima. Mamci u obliku dokumenata sa temama vezanim za geopoliti\u010dke doga\u0111aje pokazuju da <em>APT37<\/em> ne djeluje samo kroz tehni\u010dke kanale, ve\u0107 i kroz pa\u017eljivo odabrane sadr\u017eaje koji privla\u010de pa\u017enju ciljanih grupa. Time se tehni\u010dki prodor povezuje sa psiholo\u0161kim elementima, \u0161to daje dodatnu slo\u017eenost njihovim operacijama.<\/p>\n<p><em>APT37<\/em> kroz <em>Ruby Jumper<\/em> potvr\u0111uje svoju poziciju me\u0111u najaktivnijim grupama koje djeluju u sajber prostoru. Njihova sposobnost da pove\u017eu vi\u0161estepene tehni\u010dke procese sa \u0161irim strate\u0161kim ciljevima pokazuje dugoro\u010dnu usmjerenost i spremnost da djeluju u razli\u010ditim sektorima i regionima. <em>Ruby Jumper<\/em> je primjer kako se tehni\u010dki napadi uklapaju u \u0161iri okvir planiranja i djelovanja, bez ograni\u010davanja na jedan aspekt ili jednu dimenziju.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za\u0161tita od naprednih prijetnji poput <em>APT37<\/em> i njihove <em>Ruby<\/em> <em>Jumper<\/em> kampanje zahtijeva sveobuhvatan pristup koji obuhvata klju\u010dne elemente sigurnosti organizacije, uklju\u010duju\u0107i tehni\u010dke mjere, procese i svijest zaposlenih. U nastavku slijede preporuke koje mogu pomo\u0107i u ja\u010danju otpornosti i smanjenju rizika:<\/p>\n<ol>\n<li>Organizacije treba da unaprijede svoje sposobnosti pra\u0107enja krajnjih ta\u010daka radi otkrivanja i reagovanja na potencijalne prijetnje, uklju\u010duju\u0107i sumnjive <em>LNK<\/em> datoteke, instalaciju odre\u0111enih softverskih okru\u017eenja (npr. <em>Ruby<\/em>), i kreiranje zakazanih zadataka sa odre\u0111enim imenima. Ovo \u0107e omogu\u0107iti bezbjednosnim timovima da pravovremeno identifikuju i ubla\u017ee rizike.<\/li>\n<li>Organizacije treba da kontroli\u0161u i ograni\u010de upotrebu prenosivih medija, poput <em>USB<\/em> ure\u0111aja, u osjetljivim okru\u017eenjima. Primjena strogih pravila za kori\u0161tenje, skeniranje i odobravanje <em>USB<\/em> ure\u0111aja mo\u017ee pomo\u0107i u sprje\u010davanju \u0161irenja zlonamjernog softvera ovim putem. Ovo uklju\u010duje sprovo\u0111enje bezbjednih protokola za rukovanje i skladi\u0161tenje prenosivih medija radi smanjenja potencijalnih rizika.<\/li>\n<li>Redovne provjere sistema su klju\u010dne za identifikaciju ranjivosti i osiguravanje da su bezbjednosne kontrole postavljene radi ubla\u017eavanja tih ranjivosti. Organizacije treba da planiraju periodi\u010dne preglede svojih sistema, mre\u017ea i aplikacija radi otkrivanja anomalija ili sumnjivih aktivnosti.<\/li>\n<li>Lista dozvoljenih aplikacija je sna\u017ean mehanizam kontrole koji mo\u017ee sprije\u010diti izvr\u0161avanje zlonamjernog softvera na krajnjim ta\u010dkama. Dozvoljavanjem rada samo odobrenih aplikacija, organizacije mogu zna\u010dajno smanjiti povr\u0161inu napada i rizike povezane sa nepoznatim <em>LNK<\/em> datotekama ili drugim vrstama zlonamjernog softvera.<\/li>\n<li>Softveri za detekciju i odgovor na prijetnje (eng. <em>Endpoint Detection and Response \u2013 EDR<\/em>) pru\u017eaju mogu\u0107nosti pra\u0107enja u stvarnom vremenu koje omogu\u0107avaju bezbjednosnim timovima da pravovremeno otkriju i odgovore na prijetnje. Primjena ovih alata pomo\u0107i \u0107e organizacijama da budu ispred novih prijetnji, uklju\u010duju\u0107i one koje se \u0161ire putem prenosivih medija.<\/li>\n<li>Organizacije treba da se fokusiraju na otkrivanje neuobi\u010dajenog pristupa servisima za skladi\u0161tenje u oblaku poput <em>Zoho WorkDrive<\/em>, <em>Google Drive<\/em>, <em>OneDrive<\/em> ili <em>pCloud<\/em> sa krajnjih ta\u010daka kojima ti servisi nisu potrebni za poslovne operacije. Svaka neuobi\u010dajena izlazna veza ka identifikovanim <em>C2<\/em> domenima i <em>IP<\/em> adresama mora se odmah istra\u017eiti.<\/li>\n<li>Svijest korisnika je od klju\u010dnog zna\u010daja u za\u0161titi od naprednih sajber prijetnji poput onih koje predstavlja kampanja <em>Ruby Jumper <\/em>grupe <em>APT37<\/em>. Organizacije moraju ulo\u017eiti vrijeme i resurse u sprovo\u0111enje edukacije korisnika o rizicima povezanim sa otvaranjem ne\u017eeljenih priloga, pokretanjem nepoznatih <em>LNK<\/em> datoteka ili kori\u0161tenjem li\u010dnih\/neodobrenih <em>USB<\/em> ure\u0111aja na bezbjednim sistemima.<\/li>\n<li>Organizacije treba da a\u017euriraju svoje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">planove odgovora na sajber prijtenje<\/a> tako da uklju\u010de procedure za istra\u017eivanje i otklanjanje infekcija zlonamjernim softverom koje se \u0161ire putem prenosivih medija ili drugih vektora. Posebnu pa\u017enju treba posvetiti izolovanim okru\u017eenjima, gdje su rizici od takvih prijetnji poja\u010dani zbog fizi\u010dkih bezbjednosnih mjera.<\/li>\n<li>Kako se pojavljuju nove prijetnje, organizacije treba redovno da pregledaju postoje\u0107e politike i procedure kako bi osigurale da ostaju efikasne protiv razvijaju\u0107ih sajber prijetnji poput kampanje <em>Ruby Jumper<\/em> grupe <em>APT37<\/em>. Ovo uklju\u010duje a\u017euriranje planova odgovora na incidente, sposobnosti pra\u0107enja krajnjih ta\u010daka i drugih relevantnih bezbjednosnih kontrola.<\/li>\n<li>Kontrola pristupa je klju\u010dni aspekt ukupne bezbjednosne pozicije organizacije. Primjena strogih pravila za provjeru identiteta, odobravanje i evidentiranje korisnika mo\u017ee pomo\u0107i u sprje\u010davanju neovla\u0161tenog pristupa osjetljivim sistemima ili podacima.<\/li>\n<li>Organizacije treba da koriste bezbjedne komunikacione protokole prilikom prenosa osjetljivih informacija preko mre\u017ea ili putem prenosivih medija. Ovo uklju\u010duje sprovo\u0111enje mehanizama <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> poput <em>SSL\/TLS<\/em> kad god je to mogu\u0107e.<\/li>\n<li>Redovne <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> su od su\u0161tinskog zna\u010daja u slu\u010daju da organizacija do\u017eivi bezbjednosni incident koji rezultira gubitkom podataka ili prekidom rada sistema. Primjena robusnih procedura za rezervne kopije i oporavak mo\u017ee pomo\u0107i u smanjenju potencijalnih gubitaka.<\/li>\n<li>Redovne procjene ranjivosti su klju\u010dne za identifikaciju ranjivosti u sistemima, mre\u017eama i aplikacijama organizacije. Ovo uklju\u010duje izvo\u0111enje testiranja penetracije radi simulacije stvarnih napada na te resurse.<\/li>\n<li>Sistem za upravljanje bezbjednosnim doga\u0111ajima (eng. <em>security information event management \u2013 SIEM<\/em>) sistem pru\u017ea sveobuhvatan uvid u mre\u017eni saobra\u0107aj i aktivnosti krajnjih ta\u010daka, omogu\u0107avaju\u0107i organizacijama da otkriju potencijalne prijetnje gotovo u stvarnom vremenu. Primjena takvih sistema mo\u017ee pomo\u0107i u identifikaciji anomalija ili sumnjivog pona\u0161anja koje ukazuje na zlonamjernu aktivnost.<\/li>\n<\/ol>\n<p>Za\u0161tita od naprednih sajber prijetnji, poput kampanje <em>Ruby Jumper<\/em> grupe <em>APT37<\/em>, zahtijeva vi\u0161eslojni pristup koji obuhvata razli\u010dite aspekte ukupne bezbjednosne pozicije organizacije. Primjenom navedenih preporuka, organizacije mogu zna\u010dajno smanjiti rizik od ugro\u017eavanja povezanog sa ovakvim prijetnjama.<\/p>","protected":false},"excerpt":{"rendered":"<p>U kampanji Ruby Jumper, APT37 grupa koristi Zoho WorkDrive i USB zlonamjerni softver kako bi uspostavila postojanost u ciljanim okru\u017eenjima, pokazuje istra\u017eivanje Zscaler ThreatLabz. Grupa se oslanja na servise skladi\u0161tenja u oblaku kao novu&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":9060,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2193,4098,2817,3410,4102,4099,4104,4097,54,3496,4103,994,4100,4101,76],"class_list":["post-9059","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt-group","tag-apt37","tag-cyber-attack","tag-cyber-security","tag-geopolitika","tag-izolovani-sistemi","tag-ruby-campaign","tag-ruby-jumper","tag-sajber-bezbjednost","tag-sajber-napadi","tag-sjeverna-koreja","tag-threat-actors","tag-usb-napadi","tag-usluge-u-oblaku","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9059","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=9059"}],"version-history":[{"count":5,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9059\/revisions"}],"predecessor-version":[{"id":9065,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/9059\/revisions\/9065"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/9060"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=9059"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=9059"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=9059"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}