北韓駭客ScarCruft企圖對業界專家散布後門程式RokR

資安業者發現北韓駭客持續針對資安研究人員進行為期2個月的攻擊行動，進行調查後發現，這名人士是駭客用來測試的對象，實際上是為了另一起攻擊行動做準備。

資安從業人員被駭客盯上的情況，過往傳出數起網路釣魚攻擊行動，但大致上可分成2種型態的誘餌，其中一種是針對想要求職、爭取工作的求職者而來，假借提供相關職缺引誘他們上當；另一種則是宣稱要共同進行資安研究，提供概念性驗證程式碼（PoC），對研究人員散布惡意程式。

而最近北韓駭客ScarCruft的攻擊行動引起資安廠商注意，原因是這些駭客另有目的，打算針對資安人員規畫新一波攻擊行動。

資安業者SentinelOne與專門聚焦於北韓事務的媒體NK News聯手，長期追蹤針對韓國學術界的北韓事務專家、專門報導北韓新聞的媒體而來的攻擊行動，他們發現駭客最近2個月鎖定1名人士下手，根據攻擊者所用的惡意程式及攻擊手法，研判他們的身分是北韓駭客組織ScarCruft（亦稱APT37、InkySquid）。

但在分析惡意程式之後，研究人員發現駭客竟然是在進行測試，真正的攻擊目標，很有可能是研究人員及資安業界的相關專業人士，因為這些駭客以提供另一個駭客組織Kimsuky的調查資料做為誘餌，意圖散布後門程式RokRAT。

駭客先是冒充東國大學的北韓研究所（Institute for North Korean Studies，INKS）成員寄送釣魚郵件，當中包含ZIP壓縮檔附件，內含9個檔案，其中有7個是無害的Hangul Word Processor（HWP）及PowerPoint文件，其餘則是惡意的Windows捷徑檔案（LNK），這些LNK檔案大小高達48 MB，一旦收信人依照指示開啟，就有可能觸發一系列的感染鏈，執行PowerShell程式碼於受害電腦植入RokRAT。

看到這則新聞，大家有什麼樣的想法呢？

小編認為，因為駭客攻擊層出不窮，各企業為了防範一定會增加資安網管人員的職缺數，畢竟每一次被攻擊的損失都是企業不願意看到也不能承受的，這也間接的說明了網管人才的絕對必要性。