朝鲜APT37组织利用新型恶意软件通过可移动存储设备渗透隔离网络

朝鲜APT37组织扩充武器库，新型恶意软件可突破隔离网络

安全研究人员近期发现，朝鲜APT37组织（又称Reaper或ScarCruft）发起的一项新攻击活动，该组织使用此前未公开的恶意软件，旨在通过可移动USB驱动器连接**隔离网络（air-gapped networks）**与互联网系统。此次攻击链利用USB设备实现数据窃取与监控，展示了该组织在高安全环境下的战术演进。

攻击技术细节解析

研究人员在近期调查中发现的该恶意软件，采用多阶段感染流程：

1. 初始感染向量 攻击通常始于钓鱼或鱼叉式钓鱼邮件（APT37惯用的入侵手段）。一旦系统被攻陷，恶意软件将建立持久化机制，并等待可移动存储设备的连接。

2. USB传播 当受感染系统检测到连接的USB驱动器时，恶意软件会将自身复制到设备上，通常伪装成合法文件，或利用autorun.inf技术在插入时自动执行。

3. 隔离网络突破 当USB驱动器插入隔离网络系统时，恶意软件被激活，扫描敏感数据并建立隐蔽通信渠道，将信息回传至攻击者控制的基础设施。此方法绕过传统基于网络的防御机制，依赖物理介质进行数据传输。

4. 监控功能 该恶意软件包含键盘记录（keylogging）、屏幕截图及文件窃取等模块，能够对受感染系统进行全面监控。研究人员指出，其负载高度模块化，攻击者可根据具体目标定制功能。

尽管目前尚未为这些新发现的工具分配CVE编号，但恶意软件的复杂性表明攻击者投入了大量资源以规避检测，包括反分析技术（如沙箱逃逸）和加密通信。

影响与目标

APT37组织长期针对韩国、日本及中东地区的政府机构、国防承包商及关键基础设施发动攻击。该组织此次转向隔离网络，表明其重点瞄准高价值、物理隔离的网络，如军事、核能或金融领域的系统。通过USB设备传播的手法与其他国家支持的攻击活动（如Stuxnet和Agent.BTZ）相似，但APT37的工具更侧重于间谍活动而非破坏。

此次发现凸显了国家级威胁行为体对隔离网络环境构成的持续威胁。尽管隔离网络因物理隔离被视为固有安全，但对可移动介质的依赖引入了关键漏洞——单个被感染的USB驱动器即可成为数据窃取的桥梁。

缓解措施与建议

管理隔离网络或高安全环境的安全团队应采取以下措施以降低此类威胁：

• USB访问控制：限制可移动存储设备的使用，仅允许授权人员使用，并实施设备白名单机制。考虑在所有系统中禁用**自动运行（autorun）**功能。
• 终端检测与响应（EDR）：部署能够检测异常行为的EDR解决方案，如未经授权的文件传输至可移动介质或异常进程执行。
• 网络分段：虽然隔离网络物理隔离，但相邻网络应进行分段，以限制入侵后的横向移动。
• 用户意识培训：对员工进行USB攻击风险教育，包括可能先于恶意软件部署的钓鱼活动。
• 定期审计：对隔离网络系统进行频繁审计，检测未经授权的硬件或软件变更。实施**文件完整性监控（FIM）**以识别可疑修改。
• 威胁情报共享：与行业同行及政府机构合作，及时了解APT37等组织的新兴威胁。监控与该活动相关的攻击指标（IOCs）。

结论

APT37组织最新恶意软件的发现，凸显了高安全环境下威胁行为体与防御者之间持续的攻防博弈。尽管隔离网络仍是关键防御机制，但其对基于物理介质的攻击的脆弱性，要求组织采取多层次安全策略。企业必须保持警惕，结合技术控制与主动威胁狩猎，以应对高级持续性威胁（APT）。

更多详情（包括IOCs及技术分析），请参阅BleepingComputer原始报告。