ClickFix攻击手段在黑客中越来越受欢迎 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

ClickFix攻击手段在黑客中越来越受欢迎

胡金鱼 技术 2025-04-24 12:00:00
23105
收藏

导语:ClickFix是一种社会工程策略,恶意网站冒充合法软件或文档共享平台。目标是通过网络钓鱼或恶意广告引诱,并显示虚假的错误信息,声称文件或下载失败。

ClickFix攻击在威胁分子中越来越受欢迎,来自朝鲜、伊朗和俄罗斯的多个高级持续威胁(APT)组织在最近的间谍活动中采用了这种技术。

ClickFix是一种社会工程策略,恶意网站冒充合法软件或文档共享平台。目标是通过网络钓鱼或恶意广告引诱,并显示虚假的错误信息,声称文件或下载失败。

然后,受害者被提示点击“修复”按钮,该按钮指示他们运行PowerShell或命令行脚本,从而在他们的设备上执行恶意软件。

微软威胁情报团队去年2月报告称,朝鲜黑客“Kimsuky”也将其用作虚假“设备注册”网页的一部分。

admin-exec.webp.png

点击修复假设备注册页面

来自Proofpoint的一份最新报告显示,在2024年底到2025年初之间,Kimsuky(朝鲜)、MuddyWater(伊朗)以及APT28和UNK_RemoteRogue(俄罗斯)都在他们的目标间谍活动中使用了ClickFix。

timeline.webp.png

ClickFix攻击的时间轴

ClickFix启用智能操作

从Kimsuky开始,攻击发生在2025年1月至2月,目标是专注于朝鲜相关政策的智库。朝鲜黑客利用欺骗的韩语、日语或英语电子邮件,假装发件人是日本外交官,以启动与目标的联系。

在建立信任之后,攻击者发送了一个恶意的PDF文件,链接到一个假的安全驱动器,提示目标通过手动复制PowerShell命令到他们的终端来“注册”。

这样做会获取第二个脚本,该脚本为持久化设置计划任务并下载QuasarRAT,同时向受害者显示一个诱饵PDF以进行转移。

quasar.webp.png

Kimsuky攻击流

MuddyWater攻击发生在2024年11月中旬,以伪装成微软安全警报的电子邮件攻击了中东的39家组织。

收件人被告知,他们需要通过在计算机上以管理员身份运行PowerShell来应用关键的安全更新。这导致了“Level”的自我感染,这是一种可以促进间谍活动的远程监控和管理(RMM)工具。

muddywater.webp.png

MuddyWater收件

第三个案例涉及俄罗斯威胁组织UNK_RemoteRogue,该组织于2024年12月针对与一家主要武器制造商密切相关的两个组织。

这些恶意邮件是从Zimbra服务器上发送的,欺骗了微软办公软件。点击嵌入的链接,目标就会进入一个假的微软Word页面,上面有俄语说明和YouTube视频教程。

运行代码执行的JavaScript启动了PowerShell,从而连接到运行Empire命令和控制(C2)框架的服务器。

document.webp.png

登陆页欺骗Word文档

Proofpoint报告称,早在2024年10月,GRU单位APT28也使用了ClickFix,使用仿冒谷歌电子表格、reCAPTCHA步骤和通过弹出窗口传达的PowerShell执行指令的网络钓鱼邮件。

运行这些命令的受害者在不知情的情况下建立了SSH隧道并启动了Metasploit,为攻击者提供了访问其系统的后门。

ClickFix仍然是一种有效的方法,因为缺乏对未经请求的命令执行的意识,仍被多个黑客组织采用。

文章翻译自:https://www.bleepingcomputer.com/news/security/state-sponsored-hackers-embrace-clickfix-social-engineering-tactic/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务