ClickFix 攻击在攻击者中越来越受欢迎,来自朝鲜、伊朗和俄罗斯的多个高级持续性威胁 (APT) 组织在最近的间谍活动中采用了这种技术。
ClickFix 是一种社会工程学手段,恶意网站会冒充合法软件或文档共享平台。攻击者会通过网络钓鱼或恶意广告引诱目标用户,并向其显示虚假的错误信息,声称文档或下载失败。
然后提示受害者单击“修复”按钮,该按钮指示他们运行 PowerShell 或命令行脚本,从而导致在他们的设备上执行恶意软件。
微软威胁情报团队去年 2 月报告称,朝鲜国家黑客“Kimsuky”也将其用作虚假“设备注册”网页的一部分。
Proofpoint 的一份新报告显示,2024 年末至 2025 年初期间,Kimsuky(朝鲜)、MuddyWater(伊朗)以及 APT28 和 UNK_RemoteRogue(俄罗斯)都在其有针对性的间谍行动中使用了 ClickFix。
从 Kimsuky 开始,攻击活动在 2025 年 1 月至 2 月期间出现,目标是关注朝鲜相关政策的智库。
朝鲜黑客使用伪造的韩语、日语或英语电子邮件,假装发件人是日本外交官,以便与目标进行联系。
建立信任后,攻击者发送了一个恶意 PDF 文件,链接到一个虚假的安全驱动器,该驱动器提示目标通过手动将 PowerShell 命令复制到他们的终端进行“注册”。
这样做会获取第二个脚本,该脚本设置持久性的计划任务并下载 QuasarRAT,同时向受害者显示诱饵 PDF 以进行转移。
MuddyWater 攻击事件发生于 2024 年 11 月中旬,以伪装成微软安全警报的电子邮件为目标,攻击了中东的 39 个组织。
收件人被告知需要以管理员身份在计算机上运行 PowerShell 来应用关键安全更新。这导致“Level”自我感染,这是一种远程监控和管理 (RMM) 工具,可用于协助间谍活动。
第三起案件涉及俄罗斯威胁组织 UNK_RemoteRogue,该组织于 2024 年 12 月针对与一家大型武器制造商密切相关的两个组织进行了攻击。
受感染的 Zimbra 服务器发送的恶意电子邮件冒充了 Microsoft Office。点击嵌入的链接后,目标会跳转到一个伪造的 Microsoft Word 页面,其中包含俄语说明和 YouTube 视频教程。
运行代码执行 JavaScript,启动 PowerShell 连接到运行 Empire 命令和控制 (C2) 框架的服务器。
Proofpoint 报告称,GRU 下属单位 APT28 早在 2024 年 10 月也使用了 ClickFix,使用模仿 Google 电子表格、reCAPTCHA 步骤和通过弹出窗口传达的 PowerShell 执行指令的网络钓鱼电子邮件。
运行这些命令的受害者在不知情的情况下建立了 SSH 隧道并启动了 Metasploit,为攻击者提供了进入其系统的后门访问权限。
ClickFix 仍然是一种有效的方法,这一点从多个国家支持的团体采用该方法可以看出,这是由于缺乏对未经请求的命令执行的认识。
一般来说,用户永远不应该执行他们不理解的命令或从在线来源复制,尤其是在使用管理员权限的情况下。
原文始发于微信公众号(犀牛安全):某国家支持的黑客采用 ClickFix 社会工程策略对目标发起攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4104524.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论