朝鲜黑客社攻目标以管理员身份输入 PowerShell 命令

2025年2月28日23:53:29评论14 views字数 753阅读2分30秒阅读模式

据观察，朝鲜国家黑客组织“Kimsuky”（又名“Emerald Sleet”或“Velvet Chollima”）使用了一种新策略，其灵感来自目前广泛传播的 ClickFix 活动。

ClickFix 是一种社会工程策略，在网络犯罪界中引起了广泛关注，尤其用于传播信息窃取恶意软件。

它涉及欺骗性错误消息或提示，引导受害者自己执行恶意代码，通常通过 PowerShell 命令。这些操作通常会导致恶意软件感染。

据微软威胁情报团队透露，攻击者伪装成韩国政府官员，并逐渐与受害者建立联系。

一旦建立了一定程度的信任，攻击者就会发送带有 PDF 附件的鱼叉式网络钓鱼电子邮件。然而，想要阅读文档的目标会被引导到一个虚假的设备注册链接，该链接指示他们以管理员身份运行 PowerShell 并粘贴攻击者提供的代码。

朝鲜黑客社攻目标以管理员身份输入 PowerShell 命令

执行时，代码会安装基于浏览器的远程桌面工具，使用硬编码 PIN 下载证书，并将受害者的设备注册到远程服务器，让攻击者直接访问并窃取数据。

微软表示，它从 2025 年 1 月开始在有限范围的攻击中观察到了这种策略，目标是在北美、南美、欧洲和东亚的国际事务组织、非政府组织、政府机构和媒体公司工作的个人。

微软已通知受此活动影响的客户，并敦促其他人注意这一新策略并谨慎对待所有未经请求的通信。

微软警告称：“尽管我们自 2025 年 1 月以来仅观察到这种策略在有限的攻击中使用，但这种转变表明他们采取了一种新的方法来危害传统的间谍目标。”

Kimsuky 等国家行为黑客组织采用 ClickFix 策略证明了该攻击在实际行动中的有效性。

当遇到在其计算机上执行在线复制的代码的请求时，用户应该小心谨慎，尤其是在以管理员权限执行时。

信息来源：BleepingComputer

原文始发于微信公众号（犀牛安全）：朝鲜黑客社攻目标以管理员身份输入 PowerShell 命令

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

SAP NetWeaver中存在严重漏洞，面临主动利用威胁