揭秘朝鲜Kimsuky的ClickFix攻击，将PowerShell化为心理欺骗利器

Genians安全中心(GSC)最新威胁情报报告揭示了朝鲜网络行动的新演变——将社会工程学武器化到令人不寒而栗的程度。

报告披露了ClickFix的欺骗性策略被扩大使用，该策略被归因于朝鲜国家支持的APT（高级持续威胁）组织Kimsuky，该组织一直通过鱼叉式钓鱼、虚假招聘门户和混淆的PowerShell命令积极针对专家和机构发起攻击。

心理操控的精密陷阱

ClickFix是一种欺骗性策略，诱使用户在不知情的情况下自行参与攻击链。该攻击方式最早于2024年4月通过Proofpoint的研究出现，描述了一种攻击方式：用户以为自己在修复浏览器错误，从虚假的Chrome错误消息中复制PowerShell命令，并在无意中释放恶意软件。

2025年初，GSC确认Kimsuky已将这种技术武器化，并将其整合到他们长期运行的"BabyShark"威胁活动中。ClickFix的精妙与危险之处就在于其隐蔽性。

与充满危险信号的典型钓鱼邮件不同，ClickFix通过熟悉感建立信任。它伪装成：

• 包含多语言说明的PDF手册
• 面向国防研究人员的求职网站
• 韩国门户网站的伪造安全设置页面

多管齐下的攻击手法

2025年3月的一起钓鱼案例中，攻击者冒充美国国家安全助理，要求目标使用文本文件中的"认证码"访问"安全文档"。陷阱在于：该代码实际上是经过反向混淆的PowerShell命令，视觉上被打乱以避免怀疑：

$req_value=-join $value.ToCharArray()[-1..-$value.Length];cmd /c $req_value;exit;

执行后，该命令将受害者的机器连接到命令与控制(C2)服务器，建立持久性并收集敏感信息。

GSC报告强调了多种传播方法：

• 基于VBS的鱼叉式钓鱼
  
  以面试邀请为诱饵，通过pCloud发送恶意VBS文件，启动数据外泄至C2域名konamo[.]xyz
• 基于网络的漏洞利用
  
  虚假招聘门户诱使用户安装Chrome远程桌面，为攻击者提供基于SSH的远程访问
• 验证码欺骗
  
  伪造门户网站要求用户完成验证码，实则执行伪装成常规安全行为的PowerShell代码

语言指纹与基础设施

所有变种都导致类似结果：通过HncUpdateTray.exe等熟悉名称实现完全系统入侵，这是一个被重新用于数据窃取的AutoIt脚本。除了基础设施重叠和恶意软件重用外，GSC报告还揭示了更微妙的“语言指纹”。

在钓鱼信息中，朝鲜式词汇如使用"래일"而非"내일"(明天)，以及"지령"(命令)、"체계 정보"(系统信息)等术语暴露了来源。这种语言分析与重复出现的C2地址和代码模式等技术标记相结合，强化了对Kimsuky的归因。

Kimsuky的基础设施横跨raedom[.]store、securedrive.fin-tech[.]com和kida.plusdocs.kro[.]kr等域名，通常托管在韩国和美国服务器上。越南的IP也参与其中，表明这是一个地理分布广泛的操作。

防御建议

感染链经常使用Proton Drive或Google Drive进行文件传递，进一步将恶意文件伪装成合法文件。GSC提供的MD5哈希和变体信息表明其快速迭代和针对性部署。

GSC报告强调："ClickFix本质上是一种心理操控策略，引导用户在不知不觉中一步步运行恶意命令，而无法识别威胁。"

为应对此类高级威胁，安全团队必须：

• 部署端点检测与响应(EDR)工具识别异常命令行行为
• 投资安全意识培训——特别是突出真实攻击模拟
• 强化浏览器安全，为非管理员用户禁用不必要的PowerShell访问