文章总结： APT37近期采用新型社交工程攻击，通过Facebook伪装好友诱导军事相关人员下载篡改版PDFelement软件，利用无文件攻击和云服务窃密。文档详细分析了软件篡改技术、隐蔽通信手段及归因依据，并给出个人与企业层面的防御建议。 综合评分： 88 文章分类： 威胁情报,社会工程学,安全运营,恶意软件,红队

截取屏幕、采集主机信息、获取地理位置

窃取Word、PDF、HWP、录音等敏感文件

支持远程执行命令，长期控制设备

内置反杀毒逻辑，检测安全软件进程

三、关键归因：100%锁定APT37，战术持续进化

Genians通过多维度比对，高置信度将此次攻击归为APT37所为：

恶意软件与该组织标志性RokRAT后门代码相似度超95%

持续滥用Zoho等云服务作为C2通道

语言特征、攻击套路、基础设施与过往行动高度吻合

从邮件钓鱼、HWP文档攻击，升级为社交平台+软件篡改组合拳

四、防御指南：这类攻击，守住3点就能避开

APT37此次攻击核心是利用人的信任，技术防御之外，意识防御更关键：

1. 社交平台严防“陌生好友”

拒绝非工作相关的Facebook、Telegram陌生好友申请

涉及军事、机密、技术合作的话题，一律提高警惕

不接收、不安装陌生人提供的“专用软件”

2. 软件安装只认官方渠道

所有工具仅从官网、应用商店下载，拒绝第三方安装包

检查安装包数字签名，无签名、篡改签名一律不运行

安装过程出现异常进程、网络请求，立即终止

3. 企业级防御：上行为检测EDR

监控安装包运行后的异常子进程（如dism.exe异常启动）

审计Zoho等云服务的非业务访问行为

启用进程注入、无文件攻击行为检测

五、威胁总结

这起APT37攻击，标志着定向威胁正从“漏洞驱动”转向“社交驱动”。攻击者不再依赖高危0day，而是用信任欺骗、合法软件篡改、云服务隐蔽通信，把攻击藏在“正常行为”里。

对个人而言，陌生链接不点、陌生软件不装、陌生好友不加，就是最有效的防线；

对企业而言，必须升级EDR，从“特征查杀”转向行为分析，才能应对这类国家级APT的隐蔽渗透。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！APT37新型社交工程攻击曝光：Facebook钓鱼+篡改软件，目标直指军事相关人员！》