北韓駭客APT37濫用Zoho WorkDrive與USB惡意軟體,企圖入侵隔離網路環境
攻擊手法與背景
相關攻擊活動在去年12月被發現,APT37先透過網釣手法接觸受害組織,透過誘餌散佈LNK檔案,其中一個誘餌文件是北韓媒體報導以巴衝突的消息,駭客將其翻譯為中文後發佈,以誘導目標組織點擊。
資安公司Zscaler發現北韓駭客APT37(ScarCruft、Ruby Sleet、Velvet Chollima)最新一波的攻擊活動,其核心手法為濫用Zoho WorkDrive雲存儲服務,建立命令與控制(C2)通訊通道,完成身份認證後,會從雲端拉取下一階段的攻擊載荷,進而完成對邊界主機的初步入侵。
惡意軟體與實體接觸風險
最新的資安情報顯示,北韓駭客APT37開發了新型惡意軟體,專門用來入侵本應與外界隔絕的「隔離網路」。當U盤等可移動介質在已連網設備與物理隔離設備之間交叉使用時,惡意軟體便能成功侵入系統。
攻擊者透過USB惡意軟體與Zoho WorkDrive的結合,實現了從外部環境到內部隔離系統的潛入,顯示駭客手法已高度進化,僅依賴實體隔離並不足以確保安全。
影響範圍與防護建議
- 攻擊目標涵蓋軍事與國防系統、核能或電力控制系統、政府機密單位、高科技公司與研發中心等高度敏感環境。
- 專家指出,僅靠實體隔離並無法完全防範,必須加強對可移動介質的管理與使用規範。
- 建議組織建立更嚴格的設備使用流程,並對所有接觸隔離系統的設備進行安全審查與監控。