ClickFix 攻击在威胁分子中越来越受欢迎，来自朝鲜、伊朗和俄罗斯的多个高级持续威胁（APT）组织在最近的间谍活动中采用了这种技术。

ClickFix 是一种社会工程策略，恶意网站冒充合法软件或文档共享平台。目标是通过网络钓鱼或恶意广告引诱，并显示虚假的错误信息，声称文件或下载失败。

然后，受害者被提示点击 " 修复 " 按钮，该按钮指示他们运行 PowerShell 或命令行脚本，从而在他们的设备上执行恶意软件。

微软威胁情报团队去年 2 月报告称，朝鲜黑客 "Kimsuky" 也将其用作虚假 " 设备注册 " 网页的一部分。

点击修复假设备注册页面

来自 Proofpoint 的一份最新报告显示，在 2024 年底到 2025 年初之间，Kimsuky（朝鲜）、MuddyWater（伊朗）以及 APT28 和 UNK_RemoteRogue（俄罗斯）都在他们的目标间谍活动中使用了 ClickFix。

ClickFix 攻击的时间轴

ClickFix 启用智能操作

从 Kimsuky 开始，攻击发生在 2025 年 1 月至 2 月，目标是专注于朝鲜相关政策的智库。朝鲜黑客利用欺骗的韩语、日语或英语电子邮件，假装发件人是日本外交官，以启动与目标的联系。

在建立信任之后，攻击者发送了一个恶意的 PDF 文件，链接到一个假的安全驱动器，提示目标通过手动复制 PowerShell 命令到他们的终端来 " 注册 "。

这样做会获取第二个脚本，该脚本为持久化设置计划任务并下载 QuasarRAT，同时向受害者显示一个诱饵 PDF 以进行转移。

Kimsuky 攻击流

MuddyWater 攻击发生在 2024 年 11 月中旬，以伪装成微软安全警报的电子邮件攻击了中东的 39 家组织。

收件人被告知，他们需要通过在计算机上以管理员身份运行 PowerShell 来应用关键的安全更新。这导致了 "Level" 的自我感染，这是一种可以促进间谍活动的远程监控和管理（RMM）工具。

MuddyWater 收件

第三个案例涉及俄罗斯威胁组织 UNK_RemoteRogue，该组织于 2024 年 12 月针对与一家主要武器制造商密切相关的两个组织。

这些恶意邮件是从 Zimbra 服务器上发送的，欺骗了微软办公软件。点击嵌入的链接，目标就会进入一个假的微软 Word 页面，上面有俄语说明和 YouTube 视频教程。

运行代码执行的 JavaScript 启动了 PowerShell，从而连接到运行 Empire 命令和控制（C2）框架的服务器。

登陆页欺骗 Word 文档

Proofpoint 报告称，早在 2024 年 10 月，GRU 单位 APT28 也使用了 ClickFix，使用仿冒谷歌电子表格、reCAPTCHA 步骤和通过弹出窗口传达的 PowerShell 执行指令的网络钓鱼邮件。

运行这些命令的受害者在不知情的情况下建立了 SSH 隧道并启动了 Metasploit，为攻击者提供了访问其系统的后门。

ClickFix 仍然是一种有效的方法，因为缺乏对未经请求的命令执行的意识，仍被多个黑客组织采用。