文章总结： 本文复盘了ScarCruft组织的RubyJumper攻击行动。黑客利用LNK文件偏移切割技术投递载荷，滥用Zoho云服务隐蔽通信。攻击者通过自建Ruby环境绕过EDR检测，并利用U盘摆渡攻击穿透物理隔离网络，最终植入全能监控组件FOOTWINE。建议企业物理封堵USB接口，监控异常运行环境并实施物理零信任策略。 综合评分： 95 文章分类： 威胁情报,恶意软件,内网渗透,实战经验

技术流复盘：北朝鲜黑客如何把 Zoho 云盘和 U 盘变成跨网渗透的“核武器”？

原创

Kit Chung Kit Chung

安全圈动向

2026年3月4日 07:59 广东

今天得跟大家聊个硬核的。作为在安全圈多年的老兵，我一直觉得“物理隔离”是防御者的最后一道尊严。但最近，北朝鲜黑客组织 ScarCruft（也被称为 APT37）用一个名为 “Ruby Jumper” 的新攻击行动，直接打穿了这道尊严。

他们不仅玩转了 Zoho WorkDrive 这种冷门的云服务做 C2，更绝的是，他们把一整套 Ruby 运行环境 强行塞进了受害者机器，通过 U 盘当“摆渡车”，实现了对物理隔离网络的跨网渗透。这套组合拳打下来，技术路径清晰得可怕。来，我带大家逐层复盘一下这个攻击链。

一、 起手式：一个 LNK 文件里的“套娃”艺术

这次攻击的起点是一个看似普通的 LNK（快捷方式） 文件。但在 APT 玩家手里，这玩意儿被玩出了花。它不只是个引子，它自己就是一个小型“弹药库”。

1.1 自定位与数据“抠取”

当用户点开 LNK 时，它会启动一段混淆过的 PowerShell 命令。这段脚本极其贼，它并不急着去外网下载，而是先扫描当前目录，通过校验文件大小来精确定位 LNK 文件本身。这种“自定位”技术能有效躲避沙箱的静态分析。

1.2 偏移量切割（Carving）技术

定位之后，脚本根据预设的固定偏移量，从 LNK 文件的二进制序列里硬生生“抠”出四个嵌入组件：

• 伪装文档：

  一份关于巴以冲突的阿拉伯语文档（降低用户警觉）。

• RESTLEAF：

  核心可执行负载。

• 后续 PowerShell 脚本：

  负责环境准备。

• 批处理脚本（Batch）：

  负责粘合各个攻击阶段。

技术点评：

这种“文件自包含”的套路在顶级 APT 攻击中非常流行。它不需要频繁请求外网，在初期阶段极大地降低了被流量监测设备（IDS/IPS）拦截的概率。

二、 RESTLEAF 登场：Zoho 云盘竟然成了“白名单”C2

这次攻击中最让我称绝的，是黑客对 Zoho WorkDrive 的利用。这是 ScarCruft 首次被发现滥用该云服务，这一招“暗度陈仓”玩得非常溜。

2.1 内存加载与注入

批处理脚本启动后，会调用 PowerShell 解密并加载 Shellcode，最终在内存中直接拉起 RESTLEAF。整个过程不落地，传统的杀毒软件根本抓不到文件指纹。

2.2 合法云服务的“隐身术”

为什么要费劲用 Zoho？因为它是正经的办公协作平台。RESTLEAF 预置了有效的 Access Token，直接与 Zoho 基础设施通信。在企业网络管理员看来，这不过是某个员工在同步文档，流量完全淹没在日常办公数据中。

三、 硬核操作：为了规避检测，直接自建 Ruby 环境

如果说前面的操作还算常规，那接下来的 SNAKEDROPPER 组件就真是“秀得飞起”。黑客发现受害者机器没装 Ruby？没关系，我给你带一套过来！

3.1 为什么要用 Ruby？

大部分 Windows 服务器和工作站会对 PowerShell、Python 的异常行为盯得很死。但对于 Ruby 运行时，很多 EDR（终端检测与响应）系统的规则库是相对空虚的。ScarCruft 宁愿增加攻击包体积，也要部署这套环境，目的就是实现极致的规避。

3.2 落地与持久化

SNAKEDROPPER 负责安装 Ruby 环境，并设置一个计划任务实现持久化。随后，它会放下两个至关重要的 Ruby 脚本：THUMBSBD 和 VIRUSTASK。这两个文件，就是开启物理隔离网络大门的钥匙。

四、 跨网渗透：U 盘变成了“死信箱”

这是本文最硬核的部分。黑客是如何让指令穿透物理隔绝的网络，进入那些从不联网的机密机器的？

4.1 THUMBSBD：跨网指挥官

这是一个典型的“摆渡攻击”载体。它会死死盯着系统的驱动器挂载情况：

• 隐藏文件夹：

  一旦检测到 U 盘插入，它会立即创建一个隐藏文件夹。

• 指令中转：

  它会把从云端（Zoho）拿到的指令存进这个隐藏文件夹。当这个 U 盘被带入内网机器时，内网的恶意代码会读取指令。

• 数据回传：

  反之，内网抓到的机密数据也会存在这里，等 U 盘重新回到联网机器时，THUMBSBD 自动将其打包上传。

4.2 VIRUSTASK：自动化传播的“工蜂”

如果说 THUMBSBD 负责运货，VIRUSTASK 就负责开路。它专注于通过 U 盘进行感染扩散，确保即使是深藏在内网最核心、从未见过互联网的机器，也能被种下木马。

五、 FOOTWINE：全能型监控“瑞士军刀”

当跨网通道建立后，黑客会部署最终的监控负载——FOOTWINE。这个组件通过自定义的二进制协议通信，功能强悍到令人发指。我整理了一份它的指令集，大家感受一下：

| 指令码 | 功能描述 | 技术细节 | | — | — | — | | sm | 交互式命令行 | 获取系统级 Shell 权限 | | fm | 文件操作 | 遍历、下载、篡改机密文件 | | dm | 屏幕与击键监控 | 实时截屏并记录键盘输入（拿密码神器） | | cm | 多媒体监视 | 直接开启摄像头和麦克风 ，进行音视频窃听 | | pxm | 流量代理 | 建立双向代理隧道，实现内网穿透 |

防御建议：我们能学到什么？

看完这个案例，我最大的感触是：物理隔离不代表绝对安全，它只是增加了攻击者的成本，而不是堵死了路。

对于咱们 IT 同行，有几点建议必须得听：

• USB 接口必须物理封死或强制管控：

  别再相信员工的自觉性，必须使用专用的“摆渡机”进行单向杀毒和审计。

• 监控“自带环境”的行为：

  如果你的服务器上突然出现了不该有的 Ruby、Python 或奇怪的 DLL 注入，别犹豫，立刻断网检查。

• 零信任不仅是在线上：

  物理空间的接入同样需要零信任架构。对任何外来介质都要默认其是有毒的。

这次的“Ruby Jumper”行动再次证明，APT 组织已经从单纯的漏洞利用，转向了更深层次的环境利用和社工+硬件的复合攻击。安全防范，永远在路上。

想深入交流这类 Ruby 恶意脚本的解密思路吗？或者需要完整的 IOC 列表进行自查？

欢迎在评论区留言，或者直接私信我，我们共同探讨如何构建更稳固的防御体系！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《技术流复盘：北朝鲜黑客如何把 Zoho 云盘和 U 盘变成跨网渗透的“核武器”？》