Eine neue Malware-Kampagne nordkoreanischer Hacker nutzt legale Cloud-Speicher wie Zoho WorkDrive und Google Drive als versteckte Kommandozentrale. Die als „Ruby Jumper“ bekannte Attacke zielt sogar auf vom Internet isolierte Netzwerke ab, um sensible Daten zu stehlen.
Cybersicherheitsforscher haben die Kampagne der staatlich unterstützten Hackergruppe ScarCruft zugeschrieben. Das Besondere: Die Angreifer missbrauchen erstmals den Collaboration-Dienst Zoho WorkDrive, um ihre Spuren zu verwischen. Sie tarnen ihren bösartigen Datenverkehr als normale Cloud-Aktivität und umgehen so traditionelle Sicherheitsfilter.
Angesichts immer raffinierterer Methoden wie „Ruby Jumper“ stehen viele Unternehmen vor massiven Sicherheitslücken. Dieser Experten-Report enthüllt effektive Strategien, wie Sie sich gegen Cyberkriminelle wappnen, ohne dass Ihr Budget explodiert. Bewährte Cyber-Security-Strategien kostenlos herunterladen
So funktioniert der mehrstufige Angriff
Alles beginnt mit einer präparierten Verknüpfungsdatei (LNK). Klickt ein Opfer darauf, startet ein PowerShell-Befehl eine raffinierte Infektionskette. Zuerst lädt sich die Backdoor „RESTLEAF“ direkt in den Arbeitsspeicher, um Virenscanner zu umgehen.
Diese Backdoor verbindet sich dann – mit einem gültigen Zugriffstoken – zu Zoho WorkDrive. Von dort lädt sie weiteren Schadcode nach. Eine Komponente namens „SNAKEDROPPER“ installiert schließlich eine Ruby-Laufzeitumgebung und sichert der Malware dauerhaften Zugriff.
Cloud-Dienste als perfekte Tarnung
Der Trick: Indem die Hacker ihre Kommunikation über vertrauenswürdige Dienste wie Google Drive, OneDrive oder pCloud abwickeln, wirkt der Datenverkehr harmlos. Die spezielle Malware-Komponente „BLUELIGHT“ kann über diese Kanäle Befehle ausführen, Dateien durchsuchen oder weitere Schadsoftware nachladen.
Diese Methode, bei der Angreifer legale Tools zweckentfremden, nennt sich „Living off the Land“. Im Cloud-Zeitalter wird sie zur großen Herausforderung für Sicherheitsteams. Können sie überhaupt noch zwischen bösartigem und normalem Datenverkehr unterscheiden?
Der Sprung über die „Luftlücke“
Besonders alarmierend: „Ruby Jumper“ kann auch Air-Gapped-Netzwerke infiltrieren. Diese Systeme sind eigentlich physisch vom Internet getrennt. Die Malware nutzt USB-Sticks als Überträger.
Spezielle Komponenten infizieren die Wechselmedien. Wird ein USB-Stick an ein internetfähiges System gesteckt, lädt er Befehle aus der Cloud. Im isolierten Netzwerk führt er diese dann aus und sammelt Daten. Beim nächsten Kontakt mit dem Internet werden die gestohlenen Informationen in die Cloud hochgeladen.
Da Hacker zunehmend psychologische Schwachstellen und alltägliche Werkzeuge ausnutzen, wird die Prävention von Phishing-Angriffen zur Chefsache. Erfahren Sie in diesem Experten-Guide, wie Sie Ihr Unternehmen in 4 Schritten wirksam vor modernen Hacker-Methoden schützen. Kostenlosen Anti-Phishing-Guide jetzt sichern
Ein neues Paradigma für die IT-Sicherheit
Der Fall zeigt: Traditionelle Firewalls und Virenscanner reichen nicht mehr aus. Unternehmen müssen ihr Identitätsmanagement stärken, denn kompromittierte Zugangsdaten sind das Haupttor für Cloud-Angriffe.
Notwendig ist eine lückenlose Überwachung der Cloud-Umgebung, um auch anormales Verhalten bei legitimen Diensten zu erkennen. Die strikte Kontrolle von USB-Medien und Schulungen gegen Social Engineering bleiben kritische Verteidigungslinien. Der Wettlauf zwischen Angreifern und Verteidigern wird immer komplexer.
