文章总结： 朝鲜APT37组织发起RubyJumper攻击活动，使用RESTLEAF等5款新型恶意软件突破物理隔离系统。核心创新在于THUMBSBD后门将U盘转变为隐蔽双向通信通道，通过隐藏目录和XOR加密实现跨网攻击，同时滥用云服务作为C2基础设施。最终载荷FOOTWINE提供键盘记录、音视频捕获等监控功能。建议严格管控可移动介质、监控异常计划任务和云存储访问、检查LNK文件及特定注册表键值等入侵痕迹。 综合评分： 83 文章分类： 威胁情报,恶意软件,漏洞分析,安全建设

朝鲜APT37黑客组织利用新型恶意软件渗透物理隔离系统

FreeBuf

2026年2月28日 18:07 上海

#

与朝鲜有关联的APT37威胁组织近期发动了一场复杂的新型攻击活动，使用专门针对物理隔离系统（长期被视为全球最安全系统类型）定制开发的全套恶意软件工具。这项代号为”Ruby Jumper”的行动标志着该组织攻击能力的显著升级，揭示了国家支持的黑客如何巧妙突破企业用于保护核心数据的物理安全措施。

#

Part01

攻击组织背景与工具演变

APT37（又名ScarCruft、Ruby Sleet和Velvet Chollima）是朝鲜政府支持的老牌黑客组织，长期针对与朝鲜国家利益相关的政府机构、国防组织和特定个人。该组织过去主要使用Chinotto恶意软件家族实施间谍活动和数据窃取。而此次Ruby Jumper行动则引入了五个全新恶意软件组件：RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK和FOOTWINE，这些工具在多阶段攻击链中各司其职，最终在物理隔离设备上植入监控程序。

Zscaler威胁研究团队ThreatLabz于2025年12月发现该活动，揭露了攻击者如何构建能跨越网络边界的隐蔽感染链。攻击始于一个恶意的Windows快捷方式文件（LNK），受害者打开后会在后台静默释放并执行多阶段载荷。诱饵文件是一份从朝鲜媒体翻译成阿拉伯语的巴以冲突文档，表明攻击目标可能包括对朝鲜叙事感兴趣的阿拉伯语使用者——这与APT37已知的受害者特征相符。

Part02

多阶段攻击链解析

完整攻击链从初始LNK文件开始，依次通过RESTLEAF（第一阶段下载器）、SNAKEDROPPER（第二阶段载荷投放）、THUMBSBD和VIRUSTASK（通过可移动介质桥接物理隔离主机），最终由BLUELIGHT和FOOTWINE实现全面监控。该攻击的突破性在于：当U盘等可移动介质在联网设备和物理隔离设备间交叉使用时，恶意软件就能侵入本应与外界隔绝的系统。攻击者还滥用Zoho WorkDrive、Microsoft OneDrive、Google Drive和pCloud等云服务作为命令控制（C2）基础设施，使恶意流量隐匿于正常业务通信中。

Part03

THUMBSBD突破物理隔离的技术原理

Ruby Jumper行动中最具技术突破性的组件是THUMBSBD后门，它能将普通可移动介质转变为联网系统与物理隔离系统间的隐蔽双向通信通道。当U盘连接已感染的联网设备时，THUMBSBD会将预置命令文件复制到驱动器的隐藏目录$RECYCLE.BIN（该目录在Windows资源管理器默认设置下不可见）。当该U盘接入运行THUMBSBD植入程序的物理隔离设备时，恶意软件会读取这些隐藏文件，用单字节XOR密钥解密后执行攻击者指令，包括文件窃取、系统侦察和任意命令执行等操作。

Part04

协同攻击组件与防御建议

VIRUSTASK与THUMBSBD协同工作，通过用恶意LNK快捷方式替换U盘上的合法文件实现感染扩散。当新设备用户点击看似正常的文件时，会无意中激活基于Ruby的执行环境。SNAKEDROPPER则将完整的Ruby 3.3.0运行时环境伪装成名为usbspeed.exe的USB速度测试工具，并创建每5分钟运行一次的rubyupdatecheck计划任务维持持久性。最终载荷FOOTWINE提供键盘记录、音视频捕获等监控功能，并通过自定义XOR密钥交换协议建立加密C2通道。

针对该攻击活动，安全团队（特别是管理物理隔离环境的机构）应采取以下防护措施：

• 严格限制可移动介质使用，对物理隔离系统实施硬件级管控
• 监控异常计划任务，审查所有新建的端点计划任务（如rubyupdatecheck）
• 审计云存储访问，重点关注Zoho WorkDrive、OneDrive等被滥用的云服务
• 检查LNK文件，警惕邮件附件和下载内容中的恶意快捷方式
• 排查入侵痕迹，检查%PROGRAMDATA%\usbspeed路径、HKCU\SOFTWARE\Microsoft\TnGtp注册表键及U盘隐藏目录
• 加强终端活动监控，按照ThreatLabz建议强化物理接入点防护

参考来源：

North Korean APT37 Hackers Leverages Novel Malware to Infect Air‑Gapped Systems

North Korean APT37 Hackers Leverages Zoho WorkDrive to Infect Air‑Gapped Systems

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜APT37黑客组织利用新型恶意软件渗透物理隔离系统》