ClickFix攻擊在威脅分子中越來越受歡迎，來自朝鮮、伊朗和俄羅斯的多個(gè)高級(jí)持續(xù)威脅（APT）組織在最近的間諜活動(dòng)中采用了這種技術(shù)。

ClickFix是一種社會(huì)工程策略，惡意網(wǎng)站冒充合法軟件或文檔共享平臺(tái)。目標(biāo)是通過網(wǎng)絡(luò)釣魚或惡意廣告引誘，并顯示虛假的錯(cuò)誤信息，聲稱文件或下載失敗。

然后，受害者被提示點(diǎn)擊“修復(fù)”按鈕，該按鈕指示他們運(yùn)行PowerShell或命令行腳本，從而在他們的設(shè)備上執(zhí)行惡意軟件。

微軟威脅情報(bào)團(tuán)隊(duì)去年2月報(bào)告稱，朝鮮黑客“Kimsuky”也將其用作虛假“設(shè)備注冊(cè)”網(wǎng)頁的一部分。

點(diǎn)擊修復(fù)假設(shè)備注冊(cè)頁面

來自Proofpoint的一份最新報(bào)告顯示，在2024年底到2025年初之間，Kimsuky（朝鮮）、MuddyWater（伊朗）以及APT28和UNK_RemoteRogue（俄羅斯）都在他們的目標(biāo)間諜活動(dòng)中使用了ClickFix。

ClickFix攻擊的時(shí)間軸

ClickFix啟用智能操作

從Kimsuky開始，攻擊發(fā)生在2025年1月至2月，目標(biāo)是專注于朝鮮相關(guān)政策的智庫。朝鮮黑客利用欺騙的韓語、日語或英語電子郵件，假裝發(fā)件人是日本外交官，以啟動(dòng)與目標(biāo)的聯(lián)系。

在建立信任之后，攻擊者發(fā)送了一個(gè)惡意的PDF文件，鏈接到一個(gè)假的安全驅(qū)動(dòng)器，提示目標(biāo)通過手動(dòng)復(fù)制PowerShell命令到他們的終端來“注冊(cè)”。

這樣做會(huì)獲取第二個(gè)腳本，該腳本為持久化設(shè)置計(jì)劃任務(wù)并下載QuasarRAT，同時(shí)向受害者顯示一個(gè)誘餌PDF以進(jìn)行轉(zhuǎn)移。

Kimsuky攻擊流

MuddyWater攻擊發(fā)生在2024年11月中旬，以偽裝成微軟安全警報(bào)的電子郵件攻擊了中東的39家組織。

收件人被告知，他們需要通過在計(jì)算機(jī)上以管理員身份運(yùn)行PowerShell來應(yīng)用關(guān)鍵的安全更新。這導(dǎo)致了“Level”的自我感染，這是一種可以促進(jìn)間諜活動(dòng)的遠(yuǎn)程監(jiān)控和管理（RMM）工具。

MuddyWater收件

第三個(gè)案例涉及俄羅斯威脅組織UNK_RemoteRogue，該組織于2024年12月針對(duì)與一家主要武器制造商密切相關(guān)的兩個(gè)組織。

這些惡意郵件是從Zimbra服務(wù)器上發(fā)送的，欺騙了微軟辦公軟件。點(diǎn)擊嵌入的鏈接，目標(biāo)就會(huì)進(jìn)入一個(gè)假的微軟Word頁面，上面有俄語說明和YouTube視頻教程。

運(yùn)行代碼執(zhí)行的JavaScript啟動(dòng)了PowerShell，從而連接到運(yùn)行Empire命令和控制（C2）框架的服務(wù)器。

登陸頁欺騙Word文檔

Proofpoint報(bào)告稱，早在2024年10月，GRU單位APT28也使用了ClickFix，使用仿冒谷歌電子表格、reCAPTCHA步驟和通過彈出窗口傳達(dá)的PowerShell執(zhí)行指令的網(wǎng)絡(luò)釣魚郵件。

運(yùn)行這些命令的受害者在不知情的情況下建立了SSH隧道并啟動(dòng)了Metasploit，為攻擊者提供了訪問其系統(tǒng)的后門。

ClickFix仍然是一種有效的方法，因?yàn)槿狈?duì)未經(jīng)請(qǐng)求的命令執(zhí)行的意識(shí)，仍被多個(gè)黑客組織采用。

參考及來源：https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-embrace-clickfix-social-engineering-tactic/