La minaccia informatica legata al gruppo ScarCruft torna al centro dell’attenzione per una campagna avanzata che punta a superare anche le reti isolate. La tecnica combina servizi cloud legittimi e malware su chiavette USB per violare sistemi air gapped, cioè separati da Internet, con obiettivi di sorveglianza e raccolta dati.

La catena di infezione descrive un approccio multistadio in cui il punto di ingresso è un file LNK malevolo. Quando la vittima lo apre, viene avviato un comando PowerShell che identifica il file e ne estrae diversi payload incorporati in posizioni precise, inclusi un documento esca, script aggiuntivi e componenti eseguibili. Le esche possono simulare contenuti geopolitici per aumentare la credibilità e indurre l’apertura del collegamento.

Zoho WorkDrive come canale di command and control

Uno degli elementi più rilevanti è l’uso di Zoho WorkDrive come canale di command and control. Un backdoor denominato RESTLEAF utilizza token di accesso validi per autenticarsi e scaricare ulteriore shellcode. Questo codice viene poi eseguito tramite process injection, permettendo di caricare altri moduli senza lasciare tracce evidenti su disco. In seguito entra in gioco SNAKEDROPPER, che installa un ambiente di runtime Ruby, imposta la persistenza con attività pianificate e rilascia componenti come THUMBSBD e VIRUSTASK.

THUMBSBD e il ponte tramite supporti rimovibili

THUMBSBD è progettato per sfruttare i supporti rimovibili come ponte tra macchine connesse e sistemi isolati. Se rileva una USB, crea cartelle nascoste dove deposita comandi dell’operatore e raccoglie output di esecuzione. Le capacità includono raccolta di informazioni di sistema, esfiltrazione di file, download di payload secondari e lancio di comandi arbitrari, rendendolo uno strumento chiave per aggirare l’isolamento di rete.

Payload di sorveglianza e uso di cloud provider per mascherare le comunicazioni

Tra i payload distribuiti compare FOOTWINE, orientato alla sorveglianza con funzioni di keylogging e acquisizione audio video, oltre a un protocollo binario personalizzato su TCP per comunicare con il server di controllo. La campagna prevede anche la distribuzione di BLUELIGHT e l’uso di altri cloud provider come Google Drive e Microsoft OneDrive per mascherare le comunicazioni e aumentare la resilienza dell’attacco. VIRUSTASK, invece, si concentra sulla propagazione via USB per ottenere accesso iniziale su sistemi air gapped non ancora compromessi.