snakedropper - RunkIntel

# SnakeDropper > [!high] Dropper da ScarCruft para Comprometer Redes Air-Gapped via USB > O SnakeDropper é um componente dropper utilizado pelo grupo norte-coreano ScarCruft (APT37) na campanha Ruby Jumper (2025-2026), responsável por instalar o runtime Ruby e implantar ferramentas THUMBSBD e VIRUSTASK para comprometer redes isoladas fisicamente (air-gapped) via mídia removível. ## Descrição O [[snakedropper|SnakeDropper]] é um dropper de malware identificado pela Zscaler ThreatLabz em dezembro de 2025 como componente central da **campanha Ruby Jumper**, atribuída ao grupo norte-coreano [[scarcruft|ScarCruft]] (também rastreado como APT37 ou Ruby Sleet). O malware representa uma peça específica em uma cadeia de ataque sofisticada projetada para comprometer redes **air-gapped** - sistemas fisicamente isolados da internet - usando mídia removível como veículo de propagação. A cadeia de infecção da campanha Ruby Jumper começa com um **arquivo LNK malicioso** que aciona um script PowerShell para extrair payloads embutidos do próprio arquivo LNK a partir de offsets fixos (decoy document, executável, script PowerShell, arquivo batch). Em seguida, o backdoor [[restleaf|RESTLEAF]] é implantado, usando o **Zoho WorkDrive** como infraestrutura de comando e controle - técnica que mistura comúnicações maliciosas com tráfego legítimo para um serviço de armazenamento em nuvem popular. O RESTLEAF autentica via Zoho WorkDrive, faz download de shellcode e executa-o via injeção de processo, momento em que o SnakeDropper entra em ação. O SnakeDropper executa três funções principais após receber o shellcode via RESTLEAF: (1) **instala o runtime Ruby** no sistema comprometido; (2) **estabelece persistência** via tarefa agendada; e (3) **deposita dois implantes adicionais** - o [[thumbsbd|THUMBSBD]] (disfarçado como arquivo Ruby para relay de C2 via mídia removível em sistemas air-gapped) e o [[virustask|VIRUSTASK]] (focado em propagar malware via mídia removível para infectar sistemas desconectados). Essa estratégia em camadas permite ao ScarCruft transpor o air-gap físico usando pendrives ou outros dispositivos removíveis como vetor de salto entre redes. O THUMBSBD suporta um conjunto extenso de comandos via código de operação: captura de tela, input capture, acesso a compartilhamentos SMB, arquivamento de dados coletados e exfiltração - representando uma capacidade de espionagem completa uma vez estabelecido em redes isoladas. A escolha do Ruby como runtime é tática: instalar uma linguagem de programação legítima e amplamente reconhecida reduz alertas de segurança comparado ao deployment de binários desconhecidos. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell extrai payloads de arquivo LNK | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Payloads embutidos em arquivo LNK ofuscados | | Execution / Defense Evasion | [[t1055-process-injection\|T1055]] | Shellcode via injeção de processo (RESTLEAF) | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Instalação de tarefa agendada para persistência | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Instalação do runtime Ruby como serviço | | Lateral Movement | [[t1091-replication-through-removable-media\|T1091]] | THUMBSBD/VIRUSTASK propagam via mídia removível | ## Grupos que Usam - [[scarcruft|ScarCruft]] (APT37 / Ruby Sleet) - grupo de espionagem norte-coreano, principal operador confirmado - Focado em alvos sul-coreanos: governo, defesa, think tanks e entidades que utilizam redes air-gapped ## Detecção - Detectar scripts PowerShell que extraem dados de arquivos LNK com base em tamanho do arquivo na pasta atual - técnica documentada de carving de payloads do SnakeDropper/RESTLEAF - Monitorar instalação do runtime Ruby em sistemas corporativos que não utilizam Ruby legitimamente, especialmente se acompanhada de criação de tarefas agendadas - Detectar pastas ocultas em mídias removíveis (pen drives) contendo arquivos Ruby - indicativo de presença do THUMBSBD para relay de C2 em redes air-gapped - Monitorar comúnicações de saída para domínios do Zoho WorkDrive (`workdrive.zoho.com`) a partir de processos não corporativos, especialmente com tokens de acesso embutidos no binário ```sigma title: SnakeDropper - Ruby Runtime Installation by Non-Admin status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\ruby.exe' - '\rubyw.exe' ParentImage|contains: - '\AppData\' - '\Temp\' condition: selection level: high tags: - attack.persistence - attack.t1053.005 ``` ## Relevância LATAM/Brasil O SnakeDropper e a campanha Ruby Jumper são direcionados específicamente a alvos sul-coreanos, sem evidência de atividade na América Latina até março de 2026. No entanto, a técnica de uso de redes air-gapped como alvo final é relevante para análise estratégica brasileira: setores de **defesa nacional**, **infraestrutura crítica** e **pesquisa nuclear** no Brasil frequentemente utilizam redes air-gapped como medida de segurança, tornando-os alvos potenciais para técnicas semelhantes por grupos de espionagem estatal. O [[scarcruft|ScarCruft]] historicamente foca em espionagem de inteligência geopolítica, e à medida que o Brasil expande sua presença em tecnologia de defesa e relações diplomáticas na região, o modelo de ataque via dropper + propagação USB documentado no Ruby Jumper é uma métodologia que pode ser replicada por outros atores para atingir entidades estratégicas brasileiras. **Setores alvejados (original):** [[government|governo]] - [[defense|defesa]] - redes air-gapped sul-coreanas ## Referências - [1](https://thehackernews.com/2026/02/scarcruft-uses-zoho-workdrive-and-usb.html) The Hacker News - ScarCruft Uses Zoho WorkDrive and USB for Ruby Jumper Campaign (2026) - [2](https://securityboulevard.com/2026/02/apt37-adds-new-capabilities-for-air-gapped-networks/) Security Boulevard - APT37 Adds New Capabilities for Air-Gapped Networks (2026) - [3](https://www.zscaler.com/blogs/security-research) Zscaler ThreatLabz - Ruby Jumper Campaign Analysis (2025/2026) - [4](https://attack.mitre.org/groups/G0067/) MITRE ATT&CK - APT37/ScarCruft Group Profile (G0067)