揭秘 ClickFix:朝鮮 Kimsuky 組織如何將 PowerShell 轉(zhuǎn)化為心理欺騙武器
Genians安全中心(GSC)最新威脅情報(bào)報(bào)告揭示了朝鮮網(wǎng)絡(luò)行動的新演變——將社會工程學(xué)武器化到令人不寒而栗的程度。報(bào)告披露了名為"ClickFix"的欺騙性策略被擴(kuò)大使用,該策略被歸因于朝鮮國家支持的APT(高級持續(xù)威脅)組織Kimsuky,該組織一直通過魚叉式釣魚、虛假招聘門戶和混淆的PowerShell命令積極針對專家和機(jī)構(gòu)。
"BabyShark"威脅系列示意圖 | 圖片來源:Genians
心理操控的精密陷阱
"ClickFix是一種欺騙性策略,誘使用戶在不知情的情況下自行參與攻擊鏈,"報(bào)告警告稱。"ClickFix"一詞最早于2024年4月通過Proofpoint的研究出現(xiàn),描述了一種攻擊方式:用戶以為自己在修復(fù)瀏覽器錯誤,從虛假的Chrome錯誤消息中復(fù)制PowerShell命令——無意中釋放了惡意軟件。
到2025年初,GSC確認(rèn)Kimsuky已將這種技術(shù)武器化,并將其整合到他們長期運(yùn)行的"BabyShark"威脅活動中。ClickFix的精妙之處——也是其危險(xiǎn)之處——在于其隱蔽性。與充滿危險(xiǎn)信號的典型釣魚郵件不同,ClickFix通過熟悉感建立信任。它偽裝成:
- 包含多語言說明的PDF手冊
- 面向國防研究人員的求職網(wǎng)站
- 韓國門戶網(wǎng)站的偽造安全設(shè)置頁面
訪問安全文檔的說明手冊 | 圖片來源:Genians
多管齊下的攻擊手法
2025年3月的一起釣魚案例中,攻擊者冒充美國國家安全助理,要求目標(biāo)使用文本文件中的"認(rèn)證碼"訪問"安全文檔"。陷阱在于:該代碼實(shí)際上是經(jīng)過反向混淆的PowerShell命令,視覺上被打亂以避免懷疑:
$req_value=-join $value.ToCharArray()[-1..-$value.Length];
cmd /c $req_value;
exit;執(zhí)行后,該命令將受害者的機(jī)器連接到命令與控制(C2)服務(wù)器,建立持久性并收集敏感信息。GSC報(bào)告強(qiáng)調(diào)了多種傳播方法:
- 基于VBS的魚叉式釣魚:以面試邀請為誘餌,通過pCloud發(fā)送惡意VBS文件,啟動數(shù)據(jù)外泄至C2域名konamo[.]xyz
- 基于網(wǎng)絡(luò)的漏洞利用:虛假招聘門戶誘使用戶安裝Chrome遠(yuǎn)程桌面,為攻擊者提供基于SSH的遠(yuǎn)程訪問
- 驗(yàn)證碼欺騙:偽造門戶網(wǎng)站要求用戶完成驗(yàn)證碼,實(shí)則執(zhí)行偽裝成常規(guī)安全行為的PowerShell代碼
語言指紋與基礎(chǔ)設(shè)施
所有變種都導(dǎo)致類似結(jié)果:通過HncUpdateTray.exe等熟悉名稱實(shí)現(xiàn)完全系統(tǒng)入侵,這是一個被重新用于數(shù)據(jù)竊取的AutoIt腳本。除了基礎(chǔ)設(shè)施重疊和惡意軟件重用外,GSC報(bào)告還揭示了更微妙之處:語言指紋。
在釣魚信息中,朝鮮式詞匯如使用"??"而非"??"(明天),以及"??"(命令)、"?? ??"(系統(tǒng)信息)等術(shù)語暴露了來源。這種語言分析與重復(fù)出現(xiàn)的C2地址和代碼模式等技術(shù)標(biāo)記相結(jié)合,強(qiáng)化了對Kimsuky的歸因。
Kimsuky的基礎(chǔ)設(shè)施橫跨raedom[.]store、securedrive.fin-tech[.]com和kida.plusdocs.kro[.]kr等域名,通常托管在韓國和美國服務(wù)器上。追蹤到中國和越南的IP也參與其中,表明這是一個地理分布廣泛的操作。
防御建議
感染鏈經(jīng)常使用Proton Drive或Google Drive進(jìn)行文件傳遞,進(jìn)一步將惡意文件偽裝成合法文件。GSC提供的MD5哈希和變體信息表明其快速迭代和針對性部署。
"ClickFix本質(zhì)上是一種心理操控策略,引導(dǎo)用戶在不知不覺中一步步運(yùn)行惡意命令,而無法識別威脅,"GSC報(bào)告強(qiáng)調(diào)。為應(yīng)對此類高級威脅,安全團(tuán)隊(duì)必須:
- 部署端點(diǎn)檢測與響應(yīng)(EDR)工具識別異常命令行行為
- 投資安全意識培訓(xùn)——特別是突出真實(shí)攻擊模擬
- 強(qiáng)化瀏覽器安全,為非管理員用戶禁用不必要的PowerShell訪問
