朝鲜黑客APT37重启间谍行动！间谍云攻击瞄准涉朝人士

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

⚠️ 重大警告！ 朝鲜黑客组织 APT37（又称 Geumseong121）近日卷土重来，针对关注朝鲜难民、外交事务及韩朝统一的群体发起了一轮新的网络攻击行动。此次攻击被韩国网络安全公司 ESTsecurity 命名为 “间谍云行动（Operation Spy Cloud）”，黑客利用云存储服务隐藏恶意软件，意图规避安全防护，悄无声息地展开数据窃取和监控活动。

🎯 目标锁定：朝鲜问题相关人士

据安全研究人员分析，该攻击行动主要针对：

关注朝鲜难民问题的 NGO 组织及个人  

研究朝鲜外交政策和国家安全的学者与政府机构  

关心韩朝统一问题的社群成员  

APT37 过去曾多次锁定类似群体进行情报窃取。此次“间谍云行动”紧随 2019 年“龙信使（Dragon Messenger）”行动之后，表明该组织仍在积极展开针对性网络间谍活动。  

📌 诱饵战术升级：钓鱼邮件+云存储

黑客通过 精心伪造的钓鱼邮件，声称提供有关朝鲜难民的最新资讯，诱骗受害者点击链接。一旦点击，受害者会被引导至 云端存储服务（如 Google Drive 或 PickCloud），下载恶意文档（.doc、.xls、.hwp 等）。  

与传统的邮件附件攻击不同，APT37 避免直接附加恶意文件，而是通过远程下载的方式进行攻击。这种策略不仅能绕过邮件网关安全检测，还可以动态更新或删除恶意文件，进一步提升隐蔽性。  

🔍 攻击手法揭秘

1️⃣ 恶意宏（VBA）攻击：文档中嵌入 VBA 恶意代码，一旦打开，便会自动执行。  

2️⃣ 连接 C2 服务器：恶意软件与黑客的远程服务器建立通信，窃取受害者系统信息。  

3️⃣ 云存储数据转移：APT37 通过 Google Drive 和 PickCloud 传输窃取数据，增加追踪难度。  

4️⃣ 远程后门植入：黑客可能进一步安装 Android 及 Windows 后门程序，实现长期监控。  

⚠️ 如何防范？

🛑 谨慎对待邮件链接：避免点击陌生邮件中的任何外部链接，尤其是涉及朝鲜话题的邮件。  

🔄 更新安全软件：确保操作系统和杀毒软件保持最新状态，启用实时防护。  

🔐 启用多因素认证（MFA）：减少账号被盗风险，特别是云存储和邮件账户。  

🕵️ 警惕文档格式：.hwp 文件为韩文处理软件格式，一般政府机构使用，普通用户应谨慎对待。  

🚨 结语

APT37 通过“间谍云行动”成功规避了传统安全检测，并利用云存储服务大肆窃取敏感数据。面对国家级黑客的精准攻击，我们必须保持高度警惕，加强防护措施，避免落入陷阱！  

🔁 请转发本文，提高身边人的网络安全意识，共同筑牢数字防线！ 🔥🔐

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

免费知识星球，不定期提供网上资源，也作为与粉丝的沟通桥梁。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客APT37重启间谍行动！“间谍云”攻击瞄准涉朝人士