黑客组织 Kimsuky 利用 ClickFix 技术，诱使用户执行恶意脚本

臭名昭著的朝鲜黑客组织 Kimsuky 采用了一种名为 “ClickFix” 的欺骗性策略，诱使用户在自己的系统上执行恶意脚本。这一技术最初由 Proofpoint 研究人员在 2024 年 4 月披露，它通过欺骗受害者，使其相信需要解决浏览器错误或验证安全文档，最终在不知不觉中手动执行恶意代码，导致系统被入侵。

ClickFix 技术代表了心理操纵策略的重大演变，它将恶意命令伪装成合法的故障排除程序。受害者会遇到看似来自谷歌浏览器等可信来源的虚假错误消息，从而被诱导将看似无害的代码复制并粘贴到 PowerShell 控制台中。这种攻击方式巧妙地利用了人类行为，而非技术漏洞，成功绕过了传统的安全措施，使得传统的端点保护系统难以检测。

Genians 分析师在 2025 年发现，Kimsuky 成员针对韩国的高价值目标，多次成功运用 ClickFix 策略发动攻击。安全研究人员观察到，该组织通过精密的鱼叉式网络钓鱼行动，将外交和国家安全专家作为目标，充分展示了这一技术在绕过端点保护系统方面的有效性。这些攻击活动已从简单的基于 VBS 的攻击，演变为更为复杂的 PowerShell 实现，显示出该组织能够持续适应防御对策。

最近的调查显示，Kimsuky 已将 ClickFix 技术融入其正在进行的 “BabyShark” 威胁活动中，并使用了英语、法语、德语、日语、韩语、俄语和中文等多种语言的操作手册。攻击者会冒充政府官员、新闻记者和安全人员等合法实体，在传递恶意负载之前先建立信任。他们通过加密档案或模仿真实门户和服务的欺骗性网站来发送恶意内容。

Kimsuky 对 ClickFix 技术的运用，在规避现代安全解决方案的技术复杂性上取得了显著进展。恶意软件采用反向字符串混淆技术来隐藏恶意的 PowerShell 命令，使得肉眼几乎无法检查这些命令，同时又能保持其完整的执行能力。

一个典型的混淆命令结构如下：

$value="tixe&"'atad-mrof/trapitlum' epyTtnetnoC-"$req_value=-join $value.ToCharArray()[-1..-$value.Length];cmd /c $req_value;exit;

这种技术将恶意功能存储在反向字符串中，然后在运行时通过 PowerShell 的字符数组操作函数进行重构。恶意软件还通过在命令结构中插入类似 “7539518426” 的随机数字序列，进一步掩盖其操作。在执行过程中，利用 Windows 的本地字符串替换功能删除这些标记，从而有效地创建了一个动态解密过程。

一旦成功部署，恶意软件会通过创建计划任务来实现持久化，并使用包括 “demo.php?ccs=cin” 和 “demo.php?ccs=cout” 等独特的 URI 模式与命令控制服务器保持通信。其基础设施分布在多个国家，并使用动态 DNS 服务。在最近的活动中，通过 konamo.xyz 和 raedom.store 等域名进行通信。在所有活动中观察到的一致版本标识符 “Version:RE4T - GT7J - KJ90 - JB6F - VG5F”，证实了这些活动与 Kimsuky 更广泛的 BabyShark 行动之间的联系。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

球分享

球点赞

球在看

点击阅读原文查看更多

原文始发于微信公众号（看雪学苑）：黑客组织 Kimsuky 利用 ClickFix 技术，诱使用户执行恶意脚本