俄APT组织LOSTKEYS间谍软件浮出水面！ClickFix社工诱饵与多阶PowerShell无文件攻击全景解析

近期，与俄罗斯有关联的知名APT组织COLDRIVER (别名Callisto, Star Blizzard, UNC4057) 被揭露正在利用一种名为ClickFix的社会工程学诱饵，结合多阶段PowerShell无文件攻击技术，部署其新型定制间谍软件LOSTKEYS。此轮攻击活动精准锁定西方政府、军事顾问、记者、智库、非政府组织以及乌克兰相关个人，标志着COLDRIVER在传统凭证钓鱼之外，正显著增强其恶意软件渗透和深度情报窃取能力。

LOSTKEYS：为“外科手术式”精准窃密而生的APT武器

LOSTKEYS是继SPICA之后，归因于COLDRIVER的第二款自主研发的恶意软件。与那些“大水漫灌”式收集数据的窃密软件不同，LOSTKEYS的设计充分体现了APT攻击的精准性和目标驱动性：

• “点穴式”文件搜刮
  
  ：其核心功能依赖一个硬编码的、高度定制化的目标文件扩展名和目录路径列表。这个列表可能包含如 .docx (特定报告、草案), .pptx (内部简报), .xlsx (敏感数据表格), *.pem (私钥), *vpn*.conf (VPN连接配置), *pass*.kdbx (KeePass密码数据库) 等具体类型，以及指向“我的文档”、“桌面”、特定项目文件夹（如“ProjectX_Financials”）等敏感位置的精确路径。这种“照单抓药”式的窃取方式，确保了攻击者能高效获取与其特定间谍任务直接相关的核心情报，而非无关数据。
• 环境感知与目标评估
  
  ：除了文件窃取，LOSTKEYS还会收集并回传受害主机的详尽系统信息（如操作系统版本、补丁级别、CPU架构、内存大小、磁盘分区、网络接口与配置、安装的杀毒软件等）和实时运行的进程列表。这些信息有助于攻击者精确评估目标系统的环境特征、安全防护水平、潜在价值，并为后续的横向移动或权限提升决策提供依据。

精密复杂的攻击链：ClickFix社工、无文件PowerShell与多阶部署

COLDRIVER部署LOSTKEYS的攻击链条，堪称社会工程学与无文件攻击技术巧妙结合的范例：

1. ClickFix心理操纵始动：

   攻击通常始于一个精心伪造的诱饵网站，该网站会模仿合法服务并弹出一个虚假的CAPTCHA（如图形验证码、“我不是机器人”复选框等）验证。这一环节巧妙利用了用户的心理：

• CAPTCHA的“权威”光环
  
  用户习惯将CAPTCHA视为网站的正常安全流程，从而降低警惕。
• “主动操作”的假象
  
  当用户点击“验证”时，恶意JavaScript代码会在后台将一段预设的PowerShell命令复制到用户的剪贴板，并弹出指令，要求用户手动打开Windows“运行”(Win+R)对话框，粘贴(Ctrl+V)并执行(Enter)该命令。这种需要用户“主动参与”的步骤，反而可能使其误认为是在完成一个必要的技术操作，而非被动执行恶意代码。
• 指令的“技术壁垒”
  
  对于非技术背景的用户，一长串看似复杂的PowerShell命令往往会让他们放弃理解，选择直接遵从“技术指引”。

2. 第一阶段PowerShell：“无文件”下载器与高级反分析：

• 用户在“运行”框中执行的初始PowerShell命令，实际上是一个轻量级的“无文件”下载器。它直接在内存中执行，不先在磁盘上创建可执行文件，从而有效规避了许多基于文件特征的传统杀毒软件的检测。其主要任务是连接至攻击者控制的远程服务器（如谷歌披露的 165.227.148[.]68），下载下一阶段的恶意载荷。
• 此下载脚本在执行核心功能前，还会执行一系列精密的反虚拟机(Anti-VM)和反沙箱检测。这些检测可能包括：检查CPU核心数是否过少、物理内存是否低于特定阈值、是否存在如VMware Tools、VirtualBox Guest Additions等虚拟机特有的驱动程序、服务或进程、查询硬件ID（如主板序列号是否为通用VM字符串、网卡MAC地址是否属于已知虚拟网卡厂商）、通过执行特定CPU指令（如CPUID、RDTSC）并分析其行为或时间差异来判断是否在虚拟化或调试环境中。其根本目的是确保恶意软件仅在真实的目标用户计算机上激活，避免在安全研究人员的分析环境中过早暴露其真实行为。

3. 第二阶段PowerShell：Base64载荷隐匿与LOSTKEYS的最终执行：

• 从C2服务器下载的下一阶段载荷，通常是一个经过Base64编码的二进制大对象(blob)。Base64编码是一种将二进制数据转换为ASCII字符集的标准方法，常被恶意软件用于：a) 将可执行代码或脚本嵌入到只能处理文本的载体中（如PowerShell脚本参数、HTML页面）；b) 对载荷内容进行简单混淆，干扰基于静态字符串或特定字节序列的病毒特征码扫描。
• 此Base64数据块在内存中被解码后，会还原成第二个、功能更完整的PowerShell脚本。该脚本是LOSTKEYS恶意软件的最终执行器，负责将其核心组件（如果进行了模块化拆分）正确加载到内存并运行，或者直接在内存中执行包含文件窃取、信息收集和数据回传逻辑的恶意代码。

4. 精准投放，高度定制：

   与SPICA类似，LOSTKEYS的部署被认为是高度选择性的，仅在攻击者通过前期侦察（可能包括利用SPICA或其他手段）确认目标具有极高情报价值后才会投放。谷歌威胁情报组(GTIG)还发现了可追溯至2023年12月的早期LOSTKEYS样本，这些样本曾伪装成与开源情报分析平台Maltego相关的二进制文件，但其当时是否已为COLDRIVER所用，或是否被COLDRIVER后续“借鉴”和改造，尚待进一步确认。

ClickFix技术生态的“野蛮生长”及其高级变种

ClickFix因其对用户心理的精准把握和相对较低的技术门槛，已成为众多网络犯罪团伙青睐的“流量入口”技术，并衍生出多种高级变种：

• Lampion银行木马的“进程隐身术” (Palo Alto Networks Unit 42)：

• 攻击流程
  
  经典的钓鱼邮件（内含ZIP压缩包） -> ZIP内嵌HTML文件 -> HTML文件通过JavaScript实现ClickFix，重定向至高仿银行登录页并诱导执行剪贴板中的恶意命令。
• 高级规避：打断进程树
  
  Lampion的整个感染链被精心设计为多个逻辑上关联但执行上非连续的阶段，每个阶段可能由不同的父进程（甚至看似合法的系统进程）启动，形成独立的进程事件。这种“碎片化”执行方式，使得传统的依赖父子进程关系进行恶意行为链追踪的EDR（端点检测与响应）系统和SIEM（安全信息与事件管理）平台难以将这些孤立的事件有效关联起来，从而大大增加了完整检测和理解攻击全貌的难度。此攻击主要针对葡萄牙语国家和地区的用户，覆盖政府、金融、交通等多个行业。

• Atomic Stealer (macOS窃密软件) 的“链上魅影”与“水坑围猎” (独立研究员Badbyte披露，代号MacReaper)：

• ClickFix + EtherHiding的“跨界组合”
  
  攻击者将ClickFix的社工技巧与名为EtherHiding的前沿隐匿技术相结合。当macOS用户在虚假CAPTCHA页面（可能通过下述水坑攻击方式呈现）上点击“我不是机器人”按钮时，会触发一段客户端JavaScript代码。这段代码不再直接从传统C2服务器获取指令，而是通过API调用与币安智能链(BSC)上的特定智能合约进行交互。下一阶段的Base64编码恶意命令（如下载脚本的URL）被预先存储在该智能合约的交易数据（如input data或event log）中，或作为某个合约函数调用的返回结果。JavaScript代码从链上读取这些数据，解码后复制到用户剪贴板。
• macOS终端的“陷阱”
  
  随后，页面会诱导macOS用户通过常用快捷键(如 ⌘+Space 打开Spotlight搜索并运行Terminal, 然后 ⌘+V 粘贴并执行)在终端中运行剪贴板中的命令。
• “签名”的迷惑性
  
  执行的命令会下载一个初始脚本，该脚本进一步获取并运行一个经过签名的Mach-O可执行文件——即Atomic Stealer。这个“签名”即便是开发者自行签发的Ad-hoc签名，或使用了被盗/滥用的苹果开发者证书签名（在被苹果吊销前），也可能在一定程度上降低macOS的Gatekeeper安全机制的拦截级别，或在用户收到安全警告时使其更容易选择“信任”并执行。
• MacReaper大规模水坑攻击
  
  此系列攻击被命名为MacReaper，已发现其攻陷了约2800个合法网站，将这些网站变为“水坑”，向访问者展示包含ClickFix诱饵的虚假CAPTCHA页面。其前端诱饵页面常使用高度混淆的JavaScript（以对抗静态分析和研究人员的调试），并可能利用三层全屏iframe技术：底层iframe加载一个伪造的或用户期望看到的合法网站内容作为视觉背景；中间iframe可能用于显示加载动画、虚假安全扫描进度条或透明的覆盖层以干扰用户对底层页面的直接交互；最顶层的iframe则是完全透明的，精准地覆盖在用户最可能点击的区域（如按钮、链接），用户自以为在与“真实”页面交互，实则其点击事件被顶层透明iframe捕获，触发ClickFix的恶意逻辑（复制命令到剪贴板、弹出执行提示）。这种多层iframe技术结合区块链指令分发，极大地提升了攻击的隐蔽性和基础设施的抗打击能力。

COLDRIVER的战略转型：从“广撒网”到“深海捕捞”

COLDRIVER组织从早期主要依赖大规模凭证网络钓鱼（获取账户后登录邮箱窃取邮件、联系人列表等），到如今越来越多地在其攻击活动中被发现部署SPICA、LOSTKEYS这类自主研发或深度定制的恶意软件，清晰地反映了其攻击策略的重大演进：在继续利用传统手段进行广泛情报触角伸展的同时，正投入更多资源和精力，针对经过初步筛选和评估的高价值目标，进行更深度的、更持久化的系统级渗透，并追求更精准、更自动化的核心数据窃取。这不仅标志着其技术能力的显著提升，也暗示了其背后情报需求的进一步深化和具体化。

构筑多层纵深防御：应对APT组织的持续进化与社工技术的巧妙利用

1. 人的防线：安全意识教育与反社工演练 (预防与教育)

• 核心要点
  
  针对ClickFix这类要求用户“手动”参与执行恶意命令的攻击，持续性的、场景化的安全意识培训是至关重要的第一道防线。教会用户识别此类诱骗（如“网站要求我从运行框执行命令是不正常的”），建立“不轻信、不盲从、多核实”的安全习惯。
• 具体措施
  
  定期进行包含ClickFix手法的钓鱼邮件和网页诱骗模拟攻击演练，提升员工的实战识别能力和应急处置流程熟练度。

2. 技术防线：端点与网络层的检测、阻断与加固 (技术性检测与阻断)

• PowerShell执行策略
  
  通过Windows组策略或EDR策略，严格限制普通用户的PowerShell执行权限（例如，默认设置为Restricted模式，或AllSigned模式并配合严格的代码签名证书管理）。对所有PowerShell脚本执行启用详细的模块日志、脚本块日志和转录日志，并将日志集中存储和分析。
• 端点检测与响应(EDR/XDR)
  
  部署和优化能够检测以下行为的EDR/XDR解决方案：
• 异常PowerShell活动
  
  如由浏览器或Office应用启动的PowerShell进程、执行混淆或Base64编码命令的PowerShell、无文件下载行为、连接到可疑IP/域名的PowerShell等。
• 反VM/反沙箱行为
  
  许多EDR产品内置了对常见反分析技术的检测逻辑。
• 进程树异常
  
  如Lampion案例中，对孤立进程或由异常父进程启动的可疑行为进行告警。
• 内存威胁检测
  
  针对无文件攻击和内存中执行的恶意代码进行实时监控和分析。
• 浏览器安全与Web过滤
  
  确保用户使用最新版本的浏览器，并启用内置的安全防护功能。部署Web安全网关或DNS过滤服务，阻止访问已知的恶意网站和C2服务器。使用信誉良好的广告拦截器和反跟踪浏览器扩展，可能有助于减少接触到某些水坑攻击页面的机会。
• 警惕新型C2与数据外泄通道
  
  对于EtherHiding这类利用区块链进行指令传递或数据存储的新型隐蔽技术，安全社区需加强研究，探索相应的检测模型和防御对策。同时，加强对数据外泄通道的监控，包括对加密流量的元数据分析。

3. 运营与响应：持续监控、情报驱动与快速响应 (事件响应与持续改进)

• 威胁情报整合
  
  积极订阅和整合高质量的威胁情报源（包括开源和商业情报），及时获取关于COLDRIVER等APT组织的最新TTPs（战术、技术和过程）、IOCs（失陷指标，如恶意IP 165.227.148[.]68、恶意域名、文件哈希、恶意智能合约地址等），并将其应用到安全设备的检测规则和威胁狩猎活动中。
• 安全运营中心(SOC)与事件响应
  
  建立或委托专业的SOC团队，进行7x24小时的安全监控、日志分析、事件研判和应急响应。制定并定期演练针对此类APT攻击的应急响应预案。
• 针对性加固
  
  对于被COLDRIVER等APT组织明确列为目标的行业（如政府、军事、能源、金融、高科技等）和地区，应进行更具针对性的安全评估和加固，例如对VPN系统、邮件服务器、代码托管平台等关键资产实施额外的安全措施。

COLDRIVER等APT组织的持续进化，以及ClickFix这类社工技巧与前沿技术（如无文件攻击、区块链隐匿）的融合，对全球网络安全防御体系提出了前所未有的挑战。唯有保持情报驱动的警觉，采取技术与管理并重的纵深防御策略，并不断提升安全运营和应急响应的成熟度，方能有效应对这些日益复杂和隐蔽的威胁。

原文始发于微信公众号（技术修道场）：俄APT组织LOSTKEYS间谍软件浮出水面！ClickFix社工诱饵与多阶PowerShell无文件攻击全景解析