北韓駭客組織APT37 利用新型惡意軟體攻擊氣隙網路

2026 / 03 / 04

編輯部

北韓政府支持的駭客組織 APT37（又稱 ScarCruft、Ricochet Chollima、InkySquid）近期發動代號「Ruby Jumper」的攻擊行動，鎖定氣隙網路（air-gapped network）環境進行滲透。雲端資安公司 Zscaler 研究人員深入分析後發現，攻擊者運用五種惡意工具組成的武器庫，成功將實體隔離的內網系統轉化為可遠端操控的目標。

什麼是氣隙網路？

氣隙電腦（air-gapped computer）是一種與外部網路完全斷開連線的系統，常見於關鍵基礎設施、軍事單位與研究機構。這類環境在硬體層面移除所有無線與有線連接介面（包含 Wi-Fi、藍牙、Ethernet），在邏輯層面則透過 VLAN 與防火牆進行隔離。由於無法直接連網，資料傳輸必須仰賴可攜式儲存裝置（如 USB 隨身碟），而這正是 APT37 此次攻擊的核心切入點。

感染鏈：從惡意捷徑到滲透內網

攻擊流程始於受害者開啟惡意的 Windows 捷徑檔案（LNK file）。該檔案觸發 PowerShell 腳本，解壓縮內嵌的惡意酬載，同時開啟誘餌文件轉移受害者注意力。

研究人員指出，誘餌文件是一篇北韓報紙關於以巴衝突的阿拉伯文翻譯版。這顯示攻擊目標為對北韓媒體內容有高度興趣的族群，符合 APT37 一貫的受害者輪廓。

PowerShell 腳本會載入第一個惡意元件 RESTLEAF，這是一個透過 Zoho WorkDrive 與指揮控制伺服器（C2）通訊的植入程式。RESTLEAF 從 C2 伺服器取得加密的 shellcode，接著下載下一階段的酬載：以 Ruby 語言撰寫的載入器（loader）SNAKEDROPPER。

偽裝成 USB 工具的 Ruby 執行環境

SNAKEDROPPER 的特別之處在於它會在目標系統上完整安裝 Ruby 3.3.0 執行環境，包含直譯器 (interpreter)、標準函式庫與 gem 套件基礎架構，整個安裝過程被偽裝成名為 usbspeed.exe 的合法 USB 工具。

Zscaler 研究人員指出，SNAKEDROPPER 會竄改 RubyGems 預設檔案 operating_system.rb 並注入惡意版本。由於 Ruby 直譯器啟動時會自動載入此檔案，攻擊者便透過名為 rubyupdatecheck 的排程工作每五分鐘執行一次，確保後門程式持續運作。

核心武器：USB 成為雙向秘密通訊橋樑

RubyJumper 行動中最關鍵的技術亮點，在於如何利用可攜式儲存裝置突破氣隙屏障。

後門程式 THUMBSBD 以 Ruby 檔案 ascii.rb 的形式部署，負責收集系統資訊、暫存指令檔案並準備資料外洩。其最核心的功能是在偵測到的 USB 隨身碟上建立隱藏目錄並複製檔案。Zscaler 研究人員指出，這套機制將可攜式儲存裝置轉化為「雙向秘密 C2 中繼站」（bidirectional covert C2 relay），讓攻擊者既能向氣隙系統下達指令，也能從中竊取資料。透過將可攜式媒介作為中間傳輸層，惡意程式成功在原本相互隔絕的網路區段之間架起橋樑。

VIRUSTASK 則以 bundler_index_client.rb 的形式部署，專責將感染擴散至新的氣隙機器。它會將 USB 隨身碟中的正常檔案隱藏起來，並以惡意捷徑取而代之。一旦受害者點開這些捷徑，就會觸發內嵌的 Ruby 直譯器執行惡意程式碼。值得注意的是，VIRUSTASK 設有一個啟動條件：插入的可攜式媒介必須擁有至少 2GB 可用空間才會觸發感染流程。

全功能間諜後門：FOOTWINE

THUMBSBD 會進一步投放另一個惡意元件 FOOTWINE，這是一個偽裝成 Android 套件檔案（APK）的 Windows 間諜軟體後門。FOOTWINE 功能完整，支援按鍵記錄、螢幕截圖、音訊與視訊錄製、檔案操作、登錄檔存取，以及遠端 shell 指令執行，幾乎涵蓋完整的遠端監控能力。

此外，研究人員在 RubyJumper 行動中也發現 APT37 慣用的成熟後門程式 BLUELIGHT。Zscaler 基於多項技術指標高度確信本次攻擊出自 APT37，包括：BLUELIGHT 的使用、以 LNK 檔案作為初始入侵向量、兩階段 shellcode 投遞技術，以及相似的 C2 基礎架構。