كشف تقرير أمني حديث عن حملة قرصنة متطورة صادرة عن مجموعة APT37، المرتبطة بكوريا الشمالية، تستهدف بشكل خاص اختراق الأنظمة المعزولة، المعروفة بأنظمة “الهواء المحكم” (air-gapped systems)، باستخدام برمجيات خبيثة جديدة. وتُعتبر هذه الأنظمة، التي لا تتصل بالإنترنت، من أكثر الأنظمة أمانًا، مما makes this exploit particularly concerning.
الحملة، التي أطلق عليها اسم “Ruby Jumper”، تمثل تصعيدًا ملحوظًا في قدرات المجموعة، وتوضح الأساليب المبتكرة التي يتبعها قراصنة مدعومون دوليًا لتجاوز الإجراءات الأمنية المادية لحماية البيانات الحساسة.
حملة Ruby Jumper: اختراق الأنظمة المحكمة جوًا
تُعرف مجموعة APT37، والمعروفة أيضًا بأسماء مثل ScarCruft و Ruby Sleet، بأنها مجموعة قرصنة ترعاها الدولة من كوريا الشمالية، ولها تاريخ طويل في استهداف الكيانات الحكومية والمؤسسات الدفاعية والأفراد المرتبطين بمصالح الدولة. لطالما اعتمدت المجموعة في هجماتها على عائلة برامجية خبيثة تُدعى Chinotto لأغراض التجسس وسرقة البيانات.
ولكن، مع حملة Ruby Jumper، تقدم المجموعة مجموعة أدوات جديدة بالكامل. تتضمن هذه المجموعة خمسة مكونات برمجية خبيثة لم يتم اكتشافها سابقًا، وهي RESTLEAF، SNAKEDROPPER، THUMBSBD، VIRUSTASK، و FOOTWINE. كل منها مصمم لأداء دور محدد في سلسلة هجوم متعددة المراحل، تنتهي بوضع أدوات مراقبة على أجهزة معزولة.
تم تحديد هذه الحملة لأول مرة في ديسمبر 2025 من قبل محللي Zscaler ThreatLabz، الذين اكتشفوا كيف قامت المجموعة ببناء سلسلة عدوى قادرة على تجاوز حدود الشبكات التي لا يمكن لأي اتصال بالإنترنت عبورها. وتُشير الترجمة العربية للمستند المعروض، والذي يتناول موضوع الصراع الفلسطيني الإسرائيلي، إلى أن الأهداف المحتملة تشمل أفرادًا ناطقين بالعربية مهتمين بالروايات الكورية الشمالية.
آلية عمل Ruby Jumper
تبدأ الهجمة بملف اختصار خبيث (LNK) لـ Windows. عند فتحه من قبل الضحية، يقوم هذا الملف بسلسلة من العمليات غير المرئية في الخلفية لإسقاط وتنفيذ حمولات (payloads) متعددة. تنتقل سلسلة الهجوم الكاملة من ملف LNK الأولي عبر RESTLEAF كبرنامج تنزيل للمرحلة الأولى، ثم إلى SNAKEDROPPER لتوزيع حمولات المرحلة الثانية.
في مرحلة لاحقة، يعمل THUMBSBD و VIRUSTASK على ربط النظام المعزول بالشبكة عبر وسائط قابلة للإزالة. أخيرًا، تقوم BLUELIGHT و FOOTWINE بتوفير إمكانيات المراقبة الكاملة.
تكمن قوة هذه الحملة في قدرتها على الانتشار. فبمجرد استخدام وسيط قابل للإزالة، مثل عصا USB، بين جهاز متصل بالإنترنت وجهاز آخر معزول، يجد البرمجية الخبيثة طريقها إلى أنظمة لم يكن من المفترض أن تتصل بالعالم الخارجي أبدًا.
يتم إساءة استخدام خدمات سحابية مثل Zoho WorkDrive، Microsoft OneDrive، Google Drive، و pCloud كبنية تحتية للقيادة والتحكم (C2)، مما يجعل حركة المرور الضارة تمتزج مع الأنشطة التجارية العادية. هذا التمويه يزيد من صعوبة اكتشاف النشاط الخبيث.
كيفية عمل THUMBSBD في تجاوز العزل
يُعد THUMBSBD، وهو باب خلفي (backdoor)، المكون الأكثر إثارة للإعجاب تقنيًا في حملة Ruby Jumper. فهو يحول وسائط التخزين القابلة للإزالة إلى قناة اتصال سرية ثنائية الاتجاه بين الأنظمة المتصلة بالإنترنت وتلك المعزولة.
عند توصيل محرك أقراص USB بجهاز متصل بالإنترنت تم اختراقه، يقوم THUMBSBD بنسخ ملفات الأوامر المعدة مسبقًا إلى مجلد مخفي ($RECYCLE.BIN) على محرك الأقراص. هذا المجلد غير مرئي في إعدادات مستكشف Windows الافتراضية.
عند توصيل نفس محرك الأقراص بجهاز يعمل بنظام Air-gapped ويحتوي على زرع THUMBSBD، تقرأ البرمجية الخبيثة تلك الملفات المخفية، وتقوم بفك تشفيرها باستخدام مفتاح XOR أحادي البايت، وتنفذ أوامر المشغل. تشمل هذه الأوامر استخراج الملفات، واستطلاع النظام، وتنفيذ أي أوامر بشكل تعسفي.
يعمل VIRUSTASK جنبًا إلى جنب مع THUMBSBD، حيث يضمن انتشار العدوى عن طريق استبدال الملفات الشرعية للضحية على وسيط التخزين القابل للإزالة باختصارات LNK خبيثة بنفس أسماء الملفات. عندما ينقر المستخدم غير مدرك على ملف يبدو طبيعيًا، فإنه يبدأ عن غير قصد بيئة تنفيذ Ruby الخاصة بالبرمجية الخبيثة، مما يصيب المضيف الجديد.
يدعم SNAKEDROPPER هذه العملية عن طريق إخفاء بيئة تشغيل Ruby 3.3.0 كاملة كأداة مساعدة لسرعة USB تُسمى usbspeed.exe، وإنشاء مهمة مجدولة باسم rubyupdatecheck تعمل كل خمس دقائق للحفاظ على الثبات.
أما الحمولة النهائية، FOOTWINE، فتُقدم قدرات مراقبة بما في ذلك تسجيل ضغطات المفاتيح، وتسجيل الصوت، وتسجيل الفيديو، والوصول الكامل إلى واجهة الأوامر (shell access) عبر قناة C2 مشفرة تستخدم بروتوكول تبادل مفاتيح مخصص قائم على XOR.
تنصح الفرق الأمنية والمؤسسات، وخاصة تلك التي تدير بيئات Air-gapped، باتخاذ خطوات استجابة لهذه الحملة، من بينها تقييد استخدام وسائط التخزين القابلة للإزالة، ومراقبة المهام المجدولة ذات الأسماء غير العادية، وتدقيق الوصول إلى التخزين السحابي، وفحص ملفات LNK في المرفقات، والبحث عن مؤشرات الاختراق.