ClickFix攻击在威胁分子中越来越受欢迎,来自朝鲜、伊朗和俄罗斯的多个高级持续威胁(APT)组织在最近的间谍活动中采用了这种技术。
ClickFix是一种社会工程策略,恶意网站冒充合法软件或文档共享平台。目标是通过网络钓鱼或恶意广告引诱,并显示虚假的错误信息,声称文件或下载失败。
然后,受害者被提示点击“修复”按钮,该按钮指示他们运行PowerShell或命令行脚本,从而在他们的设备上执行恶意软件。
微软威胁情报团队去年2月报告称,朝鲜黑客“Kimsuky”也将其用作虚假“设备注册”网页的一部分。
点击修复假设备注册页面
来自Proofpoint的一份最新报告显示,在2024年底到2025年初之间,Kimsuky(朝鲜)、MuddyWater(伊朗)以及APT28和UNK_RemoteRogue(俄罗斯)都在他们的目标间谍活动中使用了ClickFix。
ClickFix攻击的时间轴
ClickFix启用智能操作
从Kimsuky开始,攻击发生在2025年1月至2月,目标是专注于朝鲜相关政策的智库。朝鲜黑客利用欺骗的韩语、日语或英语电子邮件,假装发件人是日本外交官,以启动与目标的联系。
在建立信任之后,攻击者发送了一个恶意的PDF文件,链接到一个假的安全驱动器,提示目标通过手动复制PowerShell命令到他们的终端来“注册”。
这样做会获取第二个脚本,该脚本为持久化设置计划任务并下载QuasarRAT,同时向受害者显示一个诱饵PDF以进行转移。
Kimsuky攻击流
MuddyWater攻击发生在2024年11月中旬,以伪装成微软安全警报的电子邮件攻击了中东的39家组织。
收件人被告知,他们需要通过在计算机上以管理员身份运行PowerShell来应用关键的安全更新。这导致了“Level”的自我感染,这是一种可以促进间谍活动的远程监控和管理(RMM)工具。
MuddyWater收件
第三个案例涉及俄罗斯威胁组织UNK_RemoteRogue,该组织于2024年12月针对与一家主要武器制造商密切相关的两个组织。
这些恶意邮件是从Zimbra服务器上发送的,欺骗了微软办公软件。点击嵌入的链接,目标就会进入一个假的微软Word页面,上面有俄语说明和YouTube视频教程。
运行代码执行的JavaScript启动了PowerShell,从而连接到运行Empire命令和控制(C2)框架的服务器。
登陆页欺骗Word文档
Proofpoint报告称,早在2024年10月,GRU单位APT28也使用了ClickFix,使用仿冒谷歌电子表格、reCAPTCHA步骤和通过弹出窗口传达的PowerShell执行指令的网络钓鱼邮件。
运行这些命令的受害者在不知情的情况下建立了SSH隧道并启动了Metasploit,为攻击者提供了访问其系统的后门。
ClickFix仍然是一种有效的方法,因为缺乏对未经请求的命令执行的意识,仍被多个黑客组织采用。
4月23日,由武汉市人民政府主办,中国网络空间安全协会、武汉临空港经济技术开发区管委会承办,中国互联网发展基金会支持的“第二届武汉网络安全创新论坛”正式开幕。大会对外发布“2024十大优秀网络安全创新成果”,蚂蚁集团“切面融合智能在威胁检测领域的应用”入选。
据了解,此次征集面向人工智能安全、智能网联安全、云安全、开源软件安全,从108项征集成果中通过两轮评审,最终评出“2024十大优秀网络安全创新成果”。
在创新成果分享环节,蚂蚁集团资深算法专家仲震宇对“切面融合智能在威胁检测领域的应用”做了解读介绍。全球数字化转型浪潮下,网络空间和数字化业务日益成为经济发展的驱动力,但网络风险态势越发严峻复杂,恶意攻击手段不断翻新。数字化企业庞大且复杂的系统,每日产生海量数据,这对安全防护提出了更高的要求:既要能从数据洪流中实时精准地发现潜在威胁,满足高效、敏捷的威胁对抗实时性要求;也要在突发安全事件时快速响应、有效应变,构建起一套既能灵活应对又能稳固支撑业务连续性的安全体系。
在此背景下,蚂蚁集团创新性地将人工智能技术与蚂蚁集团首创的安全平行切面技术融合,结合安全大模型对安全语义的强大理解能力和对复杂问题的高效处理能力,通过融合安全专家经验和机器智能,基于DKCF(Data/Knowledge/Collaboration/Feedback,即数据/知识/协同/反馈)范式将大模型可信应用到网络安全领域,建立了以“安全平行切面与智能威胁检测”为核心的多层次网络安全纵深防护体系。
该体系中,数据关联分析能力模块,利用基于攻击链路的安全切面数据关联分析能力,构建出完整攻击链路;未知威胁发现能力模块,基于DKCF(数据/知识/协同/反馈)应用框架,将大模型的知识抽象能力和推理能力更可信地应用于未知威胁发现;告警降误报能力模块,依托大模型能力将告警数据与业务行为基线进行关联匹配,大幅减少无效的安全告警;安全对抗知识图谱模块,将ATT&CK战术技术、威胁情报信息融合知识图谱的图节点属性中,提升了威胁检测的准确性和可解释性。
该体系有效应对了现有安全威胁检测技术因安全内视能力和智能化水平不足而普遍存在的误报多、未知威胁发现能力弱、可解释性差等问题,在历次演练和实践中表现出色,提升了整体安全防护的前瞻性和有效性。相关成果曾获评2024 WIC Find智能科技创新应用典型案例、入选《2024人工智能先锋案例集》和大模型应用落地“样板间工程”等。