APT37: Ruby Jumper kampanja za napad na izolovane sisteme

U kampanji Ruby Jumper, APT37 grupa koristi Zoho WorkDrive i USB zlonamjerni softver kako bi uspostavila postojanost u ciljanim okruženjima, pokazuje istraživanje Zscaler ThreatLabz. Grupa se oslanja na servise skladištenja u oblaku kao novu taktiku za C2 komunikaciju, dok istovremeno iskorištava izolovane sisteme kroz bočno kretanje olakšano ugroženim USB medijima.

KAMPANJA RUBY JUMPER

Napredna trajna prijetnja APT37 koristi višestepeni skup alata za probijanje izolovanih sistema i sprovođenje dubinskog nadzora. U svojoj kampanji pod nazivom Ruby Jumper, zlonamjerni akteri iskorištavaju prenosive medije, programski jezik Ruby i usluge u oblaku kako bi ostvarili kontrolu nad ciljnim mrežama. Ovaj vektor napada omogućava premještanje podataka i komandi između mreža povezanih na internet i izolovanih sistema, uz korištenje alata za tajni pristup (eng. backdoor) i nadzor.

Kampanja Ruby Jumper je detaljno dokumentovana od strane sigurnosnih istraživača, koji su u decembru 2025. godine identifikovali upotrebu zlonamjernih Windows prečica (LNK) datoteka kao početnog vektora napada. Cilj kampanje je uspostavljanje trajnog prisustva unutar ugroženih sistema, čime se olakšava krađa osjetljivih informacija.

Iskorištavanje prenosivih medija predstavlja ključnu komponentu Ruby Jumper kampanje. Na ovaj način zlonamjerni akteri šire zlonamjerni softver putem USB uređaja, održavaju pristup ugroženim sistemima i prate njihove aktivnosti u stvarnom vremenu. Dodatnu prikrivenost i otpornost napadu pruža korištenje usluga u oblaku, posebno Zoho WorkDrive.

Novo dokumentovane komponente RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE i BLUELIGHT alat za tajni ristup funkcionišu zajedno kako bi održale pristup, širile zlonamjerni softver preko USB medija i pratile ugrožene uređaje. Ovaj višestepeni skup alata osmišljen je da izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama, dok istovremeno uspostavlja snažnu infrastrukturu nadzora unutar ciljanih sistema.

 

Funkcionisanje

Kao što je već rečeno, Ruby Jumper kampanja zasniva se na višestepenom nizu metoda kojima se ostvaruje ulazak u sistem, održavanje prisustva i širenje na nove domaćine. Prvi korak u napadu ostvaruje se kroz posebno pripremljene LNK datoteke isporučene korištenjem ciljane elektronske pošte ili ugroženih internet lokacija. One pokreću PowerShell skripte koje iz datoteke izvlače skrivene sadržaje i u memoriji formiraju izvršni kôd poznat kao RESTLEAF. Istovremeno se prikazuje lažni dokument sa temom vijesti, čime se žrtva navodi da povjeruje u legitimnost otvaranja datoteke. PowerShell skripta se sama pronalazi u direktorijumu na osnovu veličine datoteke i ostavlja signalne zapise u Zoho WorkDrive direktorijumu, što zlonamjernim akterima daje potvrdu o aktivnoj infekciji.

RESTLEAF zatim preuzima ulogu prvog stalnog softvera unutar Windows okruženja. On koristi unaprijed ugrađene tokene za pristup Zoho WorkDrive servisu, odakle povlači dodatne kôdove i održava vezu sa zlonamjernim akterima. Ovakav način oslanjanja na usluge u oblaku omogućava trajno prisustvo i prenos podataka, čak i kada je početni vektor uklonjen. Signalne datoteke koje se upisuju u određene direktorijume služe kao pokazatelj stanja i komunikacije između inficiranog sistema i kontrolne infrastrukture.

Nakon toga se aktivira SNAKEDROPPER, koji ima zadatak da u sistem postavi Ruby okruženje. On ubrizgava kôd u memoriju i pokreće RESTLEAF, ali istovremeno priprema teren za dodatne programe poput THUMBSBD i VIRUSTASK. Ruby se koristi kao sredstvo za prikrivanje, jer se zlonamjerni sadržaji predstavljaju kao legitimne Ruby datoteke. SNAKEDROPPER mijenja određene Ruby datoteke i dodaje nove binarne datoteke koje zapravo sadrže kôd za dalja izvršavanja. Uz to, postavlja zadatak u rasporedu koji svakih pet minuta pokreće lažnog tumača, čime se obezbjeđuje stalno prisustvo.

THUMBSBD se pojavljuje kao centralni softver za prenos podataka u mrežama koje nemaju direktnu vezu sa internetom. On se maskira kao Ruby datoteka i koristi USB medije za razmjenu komandi i izvlačenje podataka. Informacije o stanju sistema čuva u posebnoj konfiguracionoj datoteci, a operacije raspoređuje kroz više direktorijuma. Kada se priključi USB, THUMBSBD koristi skrivene direktorijume da bi postavio komande i sačuvao rezultate, koje operateri kasnije prenose u izolovano okruženje.

VIRUSTASK je namijenjen širenju alata preko prenosivih medija. On prati svoje prisustvo kroz zapise u registru i na USB mediju formira skrivene direktorijume u koje smiješta izvršne datoteke i Ruby skripte. Originalne datoteke korisnika zamjenjuje prečicama koje neprimjetno pokreću zlonamjerno okruženje. Na taj način se kampanja prenosi na nove domaćine bez potrebe za mrežnom vezom.

U završnoj fazi pojavljuju se dodatni programi poput FOOTWINE i BLUELIGHT. Oni proširuju mogućnosti nadzora kroz snimanje tastature, zvuka i slike, čime se prikupljaju podaci sa inficiranih uređaja. Ovi alati rade zajedno sa prethodno instaliranim komponentama, održavaju pristup i omogućavaju dalja posmatranja. Kombinovanjem lažnih LNK datoteka, PowerShell skripti, Ruby okruženja i USB medija, Ruby Jumper kampanja obezbjeđuje dugotrajno prisustvo i prenos podataka u različitim uslovima rada sistema.

 

Ciljevi kampanje

Primijećeno je da kampanja Ruby Jumper usmjerava svoje aktivnosti ka organizacijama koje posluju u osjetljivim i izolovanim okruženjima. Među njima se izdvajaju vladine agencije, izvođači u oblasti odbrane i dobavljači ključne infrastrukture, naročito oni koji imaju ulogu u međunarodnim odnosima, bezbjednosnoj politici i odbrani. Poseban naglasak stavljen je na ciljeve povezane sa interesima Demokratske Narodne Republike Koreje, što ukazuje na strateški pristup grupe APT37, odgovorne za ovu kampanju.

Mamci u obliku dokumenata, tematski vezani za aktuelne geopolitičke događaje, dodatno potvrđuju pažljivo osmišljenu taktiku. Njihova svrha je da privuku pojedince zainteresovane za narative koji se odnose na Sjevernu Koreju, kao i zajednice koje koriste arapski jezik. Takva selekcija ukazuje na detaljno poznavanje potencijalnih žrtava, gdje se određene grupe unutar organizacija prepoznaju kao mete od posebne vrijednosti.

Strategija APT37 obuhvata složeno razumijevanje operativnog okruženja i psiholoških faktora koji utiču na mete. Ovakav pristup pokazuje kapacitet grupe u prikupljanju obavještajnih podataka i planiranju, što je čini jednim od naprednijih zlonamjernih aktera u ovoj oblasti. Njihova sposobnost da povežu tehničke i društvene elemente u ciljanju žrtava svjedoči o visokom stepenu prilagodljivosti.

Posebno zabrinjava taktika usmjerena na ugrožavanje izolovanih sistema. Korištenje USB zlonamjernog softvera omogućava premoštavanje jaza između sistema povezanih na internet i izolovanih okruženja, čime se otvara mogućnost krađe osjetljivih podataka iz prostora koji su se ranije smatrali sigurnim. Ova metoda naglašava ozbiljnost prijetnje i ukazuje na dugoročnu strategiju grupe APT37.

 

APT37 GRUPA

APT37 je sjevernokorejska napredna trajna prijetnja za koju se vjeruje da djeluje pod upravom Generalnog izviđačkog biroa, nacionalne obavještajne agencije odgovorne za sajber ratovanje. Njene operacije usko su usklađene sa geopolitičkim i vojnim strategijama Sjeverne Koreje. APT37 je aktivna najmanje od 2012. godine i poznata je pod više pseudonima, uključujući APT-C-28, ATK4, G0067, Group 123, InkySquid, Moldy Pisces, Reaper, Reaper Group, Red Eyes, Ricochet Chollima, ScarCruft i Venus 121.

Članovi grupe su visokokvalifikovani operativci specijalizovani za razvoj zlonamjernog softvera, razvoj metoda iskorištavanja ranjivosti i prikupljanje obavještajnih podataka, a izvještaji ukazuju na značajno preklapanje između sajber aktivnosti koje sponzoriše sjevernokorejska država, a koje su praćene pod imenom Lazarus Group.

Od 2017. godine APT37 je proširila svoje ciljanje van Južne Koreje, obuhvatajući Japan, Vijetnam i Bliski istok. Fokus je stavljen na različite industrijske vertikale kao što su hemijska, elektronska, proizvodna, vazduhoplovna, automobilska i zdravstvena industrija. Njihove kampanje koristile su phishing i napredna iskorištavanja ranjivosti nultog dana kako bi se infiltrirale u mete, koristeći tehnike društvenog inženjeringa za dobijanje početnog pristupa, nakon čega slijedi raspoređivanje zlonamjernog softvera putem ugroženih platformi ili distribucija prilagođenih alata dizajniranih za određene ciljeve.

Motivacije grupe usmjerene su na špijunažu, a ne na finansijsku dobit. Njihove operacije podržavaju strateške ciljeve Sjeverne Koreje u odbrani, bezbjednosti i nadzoru, kako u regionalnom tako i u globalnom kontekstu. APT37 je pokazala sposobnost prilagođavanja taktike tokom vremena, razvijajući se od ciljanja prvenstveno javnog sektora u Južnoj Koreji do širenja u razne industrije širom svijeta.

Upotreba prilagođenih alata za zlonamjerni softver, osmišljenih za specifične ciljeve, izdvaja ih od drugih zlonamjernih aktera. Primjeri uključuju Operation Daybreak, fokusiran na iskorištavanje ranjivosti u industrijskim kontrolnim sistemima, i Operation Erebus, usmjeren na ugrožavanje visokoprofilnih meta. Sposobnost APT37 da djeluje “ispod radara”, uz održavanje konstantnog nivoa složenosti u svojim operacijama, naglašava njen status jedne od najsposobnijih sjevernokorejskih sajber jedinica koje sponzoriše država. Tokom više od decenije prisustva na globalnom pejzažu sajber bezbjednosti, grupa je pokazala značajne kapacitete u različitim sektorima i regionima.

 

UTICAJ

Uticaj kampanje Ruby Jumper, koju izvodi APT37, posebno se osjeća u narušavanju povjerenja u izolovane sisteme. Ovi sistemi su dugo smatrani sigurnim zbog odsustva direktne mrežne povezanosti, ali Ruby Jumper kampanja pokazuje da prenosivi mediji mogu postati kanal za prenos komandi i podataka. Time se briše granica između zatvorenih i otvorenih okruženja, što mijenja način na koji se procjenjuje sigurnost u osjetljivim sektorima.

APT37 kroz Ruby Jumper kampanju koristi usluge u oblaku kao sredstvo za održavanje prisustva i komunikacije. Kada se legitimni servisi pretvore u kanale za nadzor, otežava se njihovo razlikovanje od uobičajenih poslovnih procesa. Ovakav pristup utiče na povjerenje u komercijalne alate i pokazuje da oni mogu postati instrumenti za dugotrajno prisustvo u mrežama, što mijenja odnos prema svakodnevnim digitalnim servisima.

Uticaj Ruby Jumper kampanje ogleda se i u povezivanju tehničkih i društvenih faktora. Mamci u obliku dokumenata sa temama vezanim za geopolitičke događaje privlače pažnju pojedinaca i organizacija koje se bave osjetljivim pitanjima. Time APT37 ne djeluje samo kroz tehničke metode, već zadire u psihološke i informacione tokove, povećavajući rizik od gubitka podataka od strateške vrijednosti.

Poseban sloj uticaja odnosi se na sektore odbrane, bezbjednosti i međunarodnih odnosa. Ruby Jumper kampanja APT37 grupe može dovesti do gubitka povjerljivih informacija i narušavanja operativnih planova, što direktno utiče na sposobnost država da zaštite ključne interese. Takav uticaj ima potencijal da oslabi stabilnost u regionalnom i globalnom kontekstu.

Ruby Jumper pokazuje da izolovani sistemi nisu imuni na napade, što utiče na otpornost organizacija. Kada se otkrije da prenosivi mediji mogu poslužiti kao most između mreža, dolazi do preispitivanja postojećih sigurnosnih modela. Time se stvara pritisak na institucije da razmišljaju o novim pristupima zaštiti, dok se istovremeno povećava osjećaj nesigurnosti u okruženjima koja su se ranije smatrala zaštićenim.

 

ZAKLJUČAK

Ruby Jumper kampanja pokazuje složenost pristupa koji APT37 koristi u svojim operacijama. Višestepeni niz alata, oslonjen na prenosive medije i usluge u oblaku, otkriva pažljivo osmišljenu strategiju koja se ne oslanja na jedan vektor, već na kombinaciju metoda koje se međusobno nadopunjuju. Time se stvara okvir u kojem tehničke komponente djeluju zajedno, gradeći zlonamjerni sistem koji je otporan na uobičajene mjere zaštite.

Uloga APT37 u oblikovanju ovakvih operacija ukazuje na dugogodišnje iskustvo i sposobnost da se prilagodi različitim okruženjima. Njihova povezanost sa državnim strukturama i usklađenost sa širim geopolitičkim ciljevima daje dodatnu težinu kampanjama koje sprovode. Ruby Jumper kampanja se uklapa u taj obrazac, gdje tehnički elementi nisu izolovani, već dio šireg plana koji obuhvata i političke interese.

Kampanja Ruby Jumper otvara pitanje granica između zatvorenih i otvorenih sistema. Kada se pokaže da izolovani sistemi mogu biti obuhvaćeni složenim operacijama, mijenja se način na koji se posmatra njihova sigurnost. APT37 je kroz ovu kampanju demonstrirala da se barijere između mreža mogu zaobići, što ukazuje na promjenu u razumijevanju zaštite osjetljivih okruženja.

U širem kontekstu, Ruby Jumper se može posmatrati kao primjer kako se tehnički alati povezuju sa društvenim i političkim faktorima. Mamci u obliku dokumenata sa temama vezanim za geopolitičke događaje pokazuju da APT37 ne djeluje samo kroz tehničke kanale, već i kroz pažljivo odabrane sadržaje koji privlače pažnju ciljanih grupa. Time se tehnički prodor povezuje sa psihološkim elementima, što daje dodatnu složenost njihovim operacijama.

APT37 kroz Ruby Jumper potvrđuje svoju poziciju među najaktivnijim grupama koje djeluju u sajber prostoru. Njihova sposobnost da povežu višestepene tehničke procese sa širim strateškim ciljevima pokazuje dugoročnu usmjerenost i spremnost da djeluju u različitim sektorima i regionima. Ruby Jumper je primjer kako se tehnički napadi uklapaju u širi okvir planiranja i djelovanja, bez ograničavanja na jedan aspekt ili jednu dimenziju.

 

PREPORUKE

Zaštita od naprednih prijetnji poput APT37 i njihove Ruby Jumper kampanje zahtijeva sveobuhvatan pristup koji obuhvata ključne elemente sigurnosti organizacije, uključujući tehničke mjere, procese i svijest zaposlenih. U nastavku slijede preporuke koje mogu pomoći u jačanju otpornosti i smanjenju rizika:

1. Organizacije treba da unaprijede svoje sposobnosti praćenja krajnjih tačaka radi otkrivanja i reagovanja na potencijalne prijetnje, uključujući sumnjive LNK datoteke, instalaciju određenih softverskih okruženja (npr. Ruby), i kreiranje zakazanih zadataka sa određenim imenima. Ovo će omogućiti bezbjednosnim timovima da pravovremeno identifikuju i ublaže rizike.
2. Organizacije treba da kontrolišu i ograniče upotrebu prenosivih medija, poput USB uređaja, u osjetljivim okruženjima. Primjena strogih pravila za korištenje, skeniranje i odobravanje USB uređaja može pomoći u sprječavanju širenja zlonamjernog softvera ovim putem. Ovo uključuje sprovođenje bezbjednih protokola za rukovanje i skladištenje prenosivih medija radi smanjenja potencijalnih rizika.
3. Redovne provjere sistema su ključne za identifikaciju ranjivosti i osiguravanje da su bezbjednosne kontrole postavljene radi ublažavanja tih ranjivosti. Organizacije treba da planiraju periodične preglede svojih sistema, mreža i aplikacija radi otkrivanja anomalija ili sumnjivih aktivnosti.
4. Lista dozvoljenih aplikacija je snažan mehanizam kontrole koji može spriječiti izvršavanje zlonamjernog softvera na krajnjim tačkama. Dozvoljavanjem rada samo odobrenih aplikacija, organizacije mogu značajno smanjiti površinu napada i rizike povezane sa nepoznatim LNK datotekama ili drugim vrstama zlonamjernog softvera.
5. Softveri za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR) pružaju mogućnosti praćenja u stvarnom vremenu koje omogućavaju bezbjednosnim timovima da pravovremeno otkriju i odgovore na prijetnje. Primjena ovih alata pomoći će organizacijama da budu ispred novih prijetnji, uključujući one koje se šire putem prenosivih medija.
6. Organizacije treba da se fokusiraju na otkrivanje neuobičajenog pristupa servisima za skladištenje u oblaku poput Zoho WorkDrive, Google Drive, OneDrive ili pCloud sa krajnjih tačaka kojima ti servisi nisu potrebni za poslovne operacije. Svaka neuobičajena izlazna veza ka identifikovanim C2 domenima i IP adresama mora se odmah istražiti.
7. Svijest korisnika je od ključnog značaja u zaštiti od naprednih sajber prijetnji poput onih koje predstavlja kampanja Ruby Jumper grupe APT37. Organizacije moraju uložiti vrijeme i resurse u sprovođenje edukacije korisnika o rizicima povezanim sa otvaranjem neželjenih priloga, pokretanjem nepoznatih LNK datoteka ili korištenjem ličnih/neodobrenih USB uređaja na bezbjednim sistemima.
8. Organizacije treba da ažuriraju svoje planove odgovora na sajber prijtenje tako da uključe procedure za istraživanje i otklanjanje infekcija zlonamjernim softverom koje se šire putem prenosivih medija ili drugih vektora. Posebnu pažnju treba posvetiti izolovanim okruženjima, gdje su rizici od takvih prijetnji pojačani zbog fizičkih bezbjednosnih mjera.
9. Kako se pojavljuju nove prijetnje, organizacije treba redovno da pregledaju postojeće politike i procedure kako bi osigurale da ostaju efikasne protiv razvijajućih sajber prijetnji poput kampanje Ruby Jumper grupe APT37. Ovo uključuje ažuriranje planova odgovora na incidente, sposobnosti praćenja krajnjih tačaka i drugih relevantnih bezbjednosnih kontrola.
10. Kontrola pristupa je ključni aspekt ukupne bezbjednosne pozicije organizacije. Primjena strogih pravila za provjeru identiteta, odobravanje i evidentiranje korisnika može pomoći u sprječavanju neovlaštenog pristupa osjetljivim sistemima ili podacima.
11. Organizacije treba da koriste bezbjedne komunikacione protokole prilikom prenosa osjetljivih informacija preko mreža ili putem prenosivih medija. Ovo uključuje sprovođenje mehanizama šifrovanja poput SSL/TLS kad god je to moguće.
12. Redovne rezervne kopije su od suštinskog značaja u slučaju da organizacija doživi bezbjednosni incident koji rezultira gubitkom podataka ili prekidom rada sistema. Primjena robusnih procedura za rezervne kopije i oporavak može pomoći u smanjenju potencijalnih gubitaka.
13. Redovne procjene ranjivosti su ključne za identifikaciju ranjivosti u sistemima, mrežama i aplikacijama organizacije. Ovo uključuje izvođenje testiranja penetracije radi simulacije stvarnih napada na te resurse.
14. Sistem za upravljanje bezbjednosnim događajima (eng. security information event management – SIEM) sistem pruža sveobuhvatan uvid u mrežni saobraćaj i aktivnosti krajnjih tačaka, omogućavajući organizacijama da otkriju potencijalne prijetnje gotovo u stvarnom vremenu. Primjena takvih sistema može pomoći u identifikaciji anomalija ili sumnjivog ponašanja koje ukazuje na zlonamjernu aktivnost.

Zaštita od naprednih sajber prijetnji, poput kampanje Ruby Jumper grupe APT37, zahtijeva višeslojni pristup koji obuhvata različite aspekte ukupne bezbjednosne pozicije organizacije. Primjenom navedenih preporuka, organizacije mogu značajno smanjiti rizik od ugrožavanja povezanog sa ovakvim prijetnjama.