朝鲜黑客卷土重来：APT37重启间谍行动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近期，据韩国安全公司ESTsecurity的研究报告指出，一个疑似与朝鲜有关的网络间谍组织——APT37（也被称作Geumseong121）在经历了去年12月由微软主导的一次大规模网站查封行动后，重新开始了其网络攻击活动。这次新的行动被命名为“间谍云”(Operation Spy Cloud)，主要针对对朝鲜难民问题感兴趣的人士。

精心设计的钓鱼邮件

在这次攻击中，APT37采用了更加隐蔽的手法，通过发送看似提供关于朝鲜难民信息的电子邮件来诱骗受害者点击链接。这些链接实际上指向了恶意文件的下载页面，一旦用户点击并打开附件中的文档（包括.doc, .xls, 和.hwp格式），就会触发一系列恶意宏命令，进而将受害者的计算机连接到攻击者控制的服务器上。

值得注意的是，为了绕过安全软件的检测，此次攻击不再直接将恶意文件作为附件发送，而是引导用户访问特定链接进行下载。这表明APT37正在不断改进其攻击策略以应对日益增强的安全防护措施。

目标广泛且具有针对性

尽管目前尚不清楚“间谍云”行动的确切目标群体，但根据以往的经验，该组织通常会针对那些关注朝韩统一、外交事务、国家安全或朝鲜难民议题的人士。此外，此次攻击不仅限于Windows系统，还涉及Android平台上的移动设备，显示出APT37对于多平台攻击能力的重视。

持续监控与防范建议

面对如此复杂的网络威胁环境，个人及企业用户都应加强自身的网络安全意识和防御能力。建议采取以下几点措施：

保持警惕：对于来源不明或内容可疑的电子邮件要提高警觉。

定期更新软件：确保操作系统及各类应用程序均为最新版本，及时修补已知漏洞。

安装可靠的安全软件：选择信誉良好的杀毒软件，并开启实时保护功能。

备份重要数据：定期对关键文件进行备份，以防万一遭受攻击时能够快速恢复。

随着国际局势的变化和技术的发展，网络空间已成为国家间博弈的新战场。而像APT37这样的专业黑客团队无疑将继续活跃于其中，因此我们必须时刻保持警惕，共同构建更加安全可靠的网络环境。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客卷土重来：APT37重启间谍行动