文章总结： Zscaler报告披露APT37组织在RubyJumper攻击活动中利用五种新型恶意工具瞄准物理隔离网络。攻击通过LNK文件启动，利用USB介质突破网络隔离，实现数据窃取、双向中继及跨平台监控。工具集包括RestLeaf、SnakeDropper、ThumbsBD、VirusTask及FootWine，建议加强终端与物理接入监控。 综合评分： 84 文章分类： 威胁情报,恶意软件,内网渗透

曹县APT组织在最近的攻击活动中瞄准物理隔离网络

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月3日 09:02 湖北

导读

Zscaler 报告称，一个与曹县有关联的高级威胁组织（APT37）最近在一次针对物理隔离网络的攻击活动中使用了五种新的恶意工具。

APT37 也被称为 ScarCruft、Ruby Sleet 和 Velvet Chollima，自 2012 年以来一直活跃，专注于数据窃取和监视，主要针对韩国境内的实体。

在 2025 年 12 月发现的名为Ruby Jumper 的攻击活动中，APT37 被发现使用 LNK 文件执行 PowerShell 脚本并部署多个有效载荷，其中包括一份关于巴以冲突的阿拉伯语诱饵文档。

这些有效载荷协同工作，在内存中执行目标有效载荷。该攻击名为 RestLeaf，它使用 Zoho WorkDrive 云存储进行命令与控制 (C&C) 通信，并尝试从中获取包含 shellcode 的文件。

在内存中执行的 shellcode 充当启动器，获取并解密第二阶段 shellcode，该 shellcode 加载一个名为 SnakeDropper 的嵌入式 Windows 可执行文件。

该恶意软件会创建一个工作目录，并安装伪装成 USB 速度监控实用程序的 Ruby 3.3.0 运行时环境，在 Ruby 解释器中植入后门，并创建一个计划任务，每五分钟执行一次解释器，从而建立持久性。

SnakeDropper 每次 Ruby 解释器启动时都会执行，它会释放 ThumbsBD，这是一个后门程序，它使用可移动驱动器从物理隔离的系统中窃取数据，并将其用作双向中继。

当检测到 USB 驱动器时，恶意软件会在其根文件夹中创建一个隐藏目录，用于存放后门命令和数据以进行数据外泄。

ThumbsBD 还会收集系统信息，下载额外的有效载荷，并从特定目录执行 shellcode。

还发现 SnakeDropper 会投放 VirusTask，这是一种可移动媒体传播工具，旨在感染与外界隔离的系统，它专门利用 USB 驱动器进行初始访问。

它将有效载荷可执行文件复制到驱动器根目录下的文件夹中，并枚举驱动器上的文件，将它们替换为 LNK 文件，从而在用户尝试打开这些文件时，在与网络隔离的系统上执行 shellcode。

Zscaler解释说：“VirusTask与ThumbsBD相辅相成，构成了一套完整的物理隔离网络攻击工具包。ThumbsBD负责处理C&C通信和数据窃取，而VirusTask则通过社会工程手段，将恶意软件传播到新的系统，具体做法是将合法文件替换为受害者信任并执行的恶意快捷方式。”

该安全公司还观察到 ThumbsBD 部署了 FootWine，这是一个加密的 Android 软件包文件，其中包含一个 shellcode 启动器，具有键盘记录、音频和视频捕获等监控功能。

FootWine 支持各种与监控相关的命令，包括文件操作、shell 管理以及注册表和进程操作。

Zscaler指出：“ThumbsBD和VirusTask利用可移动存储介质绕过网络隔离，感染与网络物理隔离的系统。为了保持强大的安全态势，安全社区应重点监控终端活动和物理接入点，以应对此类威胁以及APT37发起的其他攻击活动。”

技术报告：

https://threatlabz.zscaler.com/blogs/security-research/apt37-adds-new-capabilities-air-gapped-networks

新闻链接：

https://www.securityweek.com/north-korean-apt-targets-air-gapped-systems-in-recent-campaign/

今日安全资讯速递

APT事件

Advanced Persistent Threat

连线：以色列和美国空袭之际，黑客劫持祈祷APP向伊朗人发送“劝降”通知

https://www.wired.com/story/hacked-prayer-app-sends-surrender-messages-to-iranians-amid-israeli-strikes/

Iran ’s Internet near-totally blacked out amid US, Israeli strikes

曹县黑客发布 26 个 npm 包，隐藏 Pastebin C2 服务器，用于跨平台远程访问木马 (RAT)

https://thehackernews.com/2026/03/north-korean-hackers-publish-26-npm.html

曹县APT组织在最近的攻击活动中瞄准物理隔离网络

https://www.securityweek.com/north-korean-apt-targets-air-gapped-systems-in-recent-campaign/

一般威胁事件

General Threat Incidents

OAuth重定向滥用会导致网络钓鱼和恶意软件传播

OAuth redirection abuse enables phishing and malware delivery

Chrome 扩展程序被劫持以推送 ClickFix 恶意软件

https://www.esecurityplanet.com/threats/chrome-extension-hijacked-to-push-clickfix-malware/

美以对伊朗开战之际，针对GPS的攻击激增

https://www.wired.com/story/gps-attacks-on-ships-spike-amid-the-us-and-israeli-war-on-iran/

信息窃取恶意软件瞄准 OpenClaw AI 代理文件，窃取 API 密钥和身份验证令牌

https://www.cysecurity.news/2026/03/infostealer-malware-targets-openclaw-ai.html

黑客利用4000多个IP地址对SonicWall防火墙发起大规模攻击

Hackers Launch Massive SonicWall Firewall Attack Using 4,000+ IP Addresses

漏洞事件

Vulnerability Incidents

丰田、奔驰和其他主要品牌的胎压监测系统存在缺陷，可实现隐蔽车辆追踪

TPMS Flaw in Toyota, Mercedes, and Other Major Brands Enables Covert Vehicle Tracking

漏洞允许劫持 Chrome 的 Gemini Live AI 助手

https://www.securityweek.com/vulnerability-allowed-hijacking-chromes-gemini-live-ai-assistant/

DuckDuckGo浏览器AutoConsent JS桥接中的UXSS漏洞允许跨域攻击

UXSS Vulnerability in DuckDuckGo Browser’s AutoConsent JS Bridge Allows Cross-Origin Attacks

MSHTML框架0day漏洞在2026年2月补丁日更新前已被APT28黑客利用

https://securityaffairs.com/188782/security/russia-linked-apt28-exploited-mshtml-zero-day-cve-2026-21513-before-patch.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《曹县APT组织在最近的攻击活动中瞄准物理隔离网络》