ClickFix攻击在威胁分子中越来越受欢迎，来自朝鲜、伊朗和俄罗斯的多个高级持续威胁（APT）组织在最近的间谍活动中采用了这种技术。

ClickFix是一种社会工程策略，恶意网站冒充合法软件或文档共享平台。目标是通过网络钓鱼或恶意广告引诱，并显示虚假的错误信息，声称文件或下载失败。

然后，受害者被提示点击“修复”按钮，该按钮指示他们运行PowerShell或命令行脚本，从而在他们的设备上执行恶意软件。

微软威胁情报团队去年2月报告称，朝鲜黑客“Kimsuky”也将其用作虚假“设备注册”网页的一部分。

点击修复假设备注册页面

来自Proofpoint的一份最新报告显示，在2024年底到2025年初之间，Kimsuky（朝鲜）、MuddyWater（伊朗）以及APT28和UNK_RemoteRogue（俄罗斯）都在他们的目标间谍活动中使用了ClickFix。

ClickFix攻击的时间轴

从Kimsuky开始，攻击发生在2025年1月至2月，目标是专注于朝鲜相关政策的智库。朝鲜黑客利用欺骗的韩语、日语或英语电子邮件，假装发件人是日本外交官，以启动与目标的联系。

在建立信任之后，攻击者发送了一个恶意的PDF文件，链接到一个假的安全驱动器，提示目标通过手动复制PowerShell命令到他们的终端来“注册”。

这样做会获取第二个脚本，该脚本为持久化设置计划任务并下载QuasarRAT，同时向受害者显示一个诱饵PDF以进行转移。

Kimsuky攻击流

MuddyWater攻击发生在2024年11月中旬，以伪装成微软安全警报的电子邮件攻击了中东的39家组织。

收件人被告知，他们需要通过在计算机上以管理员身份运行PowerShell来应用关键的安全更新。这导致了“Level”的自我感染，这是一种可以促进间谍活动的远程监控和管理（RMM）工具。

MuddyWater收件

第三个案例涉及俄罗斯威胁组织UNK_RemoteRogue，该组织于2024年12月针对与一家主要武器制造商密切相关的两个组织。

这些恶意邮件是从Zimbra服务器上发送的，欺骗了微软办公软件。点击嵌入的链接，目标就会进入一个假的微软Word页面，上面有俄语说明和YouTube视频教程。

运行代码执行的JavaScript启动了PowerShell，从而连接到运行Empire命令和控制（C2）框架的服务器。

登陆页欺骗Word文档

Proofpoint报告称，早在2024年10月，GRU单位APT28也使用了ClickFix，使用仿冒谷歌电子表格、reCAPTCHA步骤和通过弹出窗口传达的PowerShell执行指令的网络钓鱼邮件。

运行这些命令的受害者在不知情的情况下建立了SSH隧道并启动了Metasploit，为攻击者提供了访问其系统的后门。

ClickFix仍然是一种有效的方法，因为缺乏对未经请求的命令执行的意识，仍被多个黑客组织采用。

参考及来源：https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-embrace-clickfix-social-engineering-tactic/