北韓駭客正在部署新發現的工具，在聯網系統和實體隔離系統之間傳輸數據，透過可移動驅動器傳播數據，並進行秘密監視。這場惡意活動被命名為 Ruby Jumper，並歸咎於國家支持的組織 APT37，該組織又名 ScarCruft、Ricochet Chollima 和 InkySquid。雲端安全公司 Zscaler 的研究人員分析了 APT37 的 Ruby Jumper 活動中使用的惡意軟體，並確定了一個包含五種惡意工具的工具包：RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK 和 FOOTWINE。

實體隔離是指電腦與外部網路（尤其是公共網際網路）斷開連線，實體隔離是在硬體層面透過移除所有連接（Wi-Fi、藍牙、乙太網路）來實現的，而邏輯隔離則依賴各種軟體定義的控制措施，例如 VLAN 和防火牆。在關鍵基礎設施、軍事和研究領域常見的實體隔離環境中，資料傳輸是透過可移動儲存磁碟機完成的。

彌合空氣間隙

感染鏈始於受害者開啟惡意 Windows 捷徑檔案 (LNK) 時，該檔案會部署一個 PowerShell 腳本，該腳本會提取嵌入在 LNK 檔案中的有效載荷。為了轉移注意力，該腳本還會啟動一個誘餌文件。

雖然研究人員沒有具體說明任何受害者，但他們指出，該文件是北韓報紙上關於巴以衝突的文章的阿拉伯語譯本。研究人員表示，該惡意軟體會將可移動儲存裝置變成「雙向隱蔽的C2中繼」，這使得攻擊者能夠向與網路隔離的系統發送指令，並從中提取資料。

Zscaler 的研究人員表示：透過利用可移動媒體作為中間傳輸層，該惡意軟體可以連接原本物理隔離的網路段。只有當插入的可移動介質至少有 2GB 的可用空間時，惡意模組才會觸發感染過程。

資料來源：https://www.bleepingcomputer.com/news/security/apt37-hackers-use-new-malware-to-breach-air-gapped-networks/