揭秘 ClickFix：朝鲜 Kimsuky 组织如何将 PowerShell 转化为心理欺骗武器

Genians安全中心(GSC)最新威胁情报报告揭示了朝鲜网络行动的揭秘将新演变——将社会工程学武器化到令人不寒而栗的程度
。报告披露了名为"ClickFix"的朝鲜欺骗性策略被扩大使用，该策略被归因于朝鲜国家支持的组织何l转APT（高级持续威胁）组织Kimsuky，该组织一直通过鱼叉式钓鱼、心理虚假招聘门户和混淆的欺骗PowerShell命令积极针对专家和机构。

"BabyShark"威胁系列示意图 | 图片来源 ：Genians

"ClickFix是一种欺骗性策略 ，诱使用户在不知情的揭秘将情况下自行参与攻击链 ，"报告警告称
。源码下载朝鲜"ClickFix"一词最早于2024年4月通过Proofpoint的组织何l转研究出现，描述了一种攻击方式：用户以为自己在修复浏览器错误，心理从虚假的欺骗Chrome错误消息中复制PowerShell命令——无意中释放了恶意软件。

到2025年初 ，武器GSC确认Kimsuky已将这种技术武器化，揭秘将并将其整合到他们长期运行的朝鲜"BabyShark"威胁活动中
 。ClickFix的组织何l转精妙之处——也是其危险之处——在于其隐蔽性。与充满危险信号的典型钓鱼邮件不同 ，ClickFix通过熟悉感建立信任。香港云服务器它伪装成：

访问安全文档的说明手册 | 图片来源：Genians

2025年3月的一起钓鱼案例中，攻击者冒充美国国家安全助理，要求目标使用文本文件中的"认证码"访问"安全文档" 。陷阱在于 ：该代码实际上是经过反向混淆的PowerShell命令 ，视觉上被打乱以避免怀疑：

执行后 ，该命令将受害者的高防服务器机器连接到命令与控制(C2)服务器，建立持久性并收集敏感信息。GSC报告强调了多种传播方法
：

所有变种都导致类似结果
：通过HncUpdateTray.exe等熟悉名称实现完全系统入侵，这是一个被重新用于数据窃取的AutoIt脚本 。除了基础设施重叠和恶意软件重用外，亿华云GSC报告还揭示了更微妙之处：语言指纹。

在钓鱼信息中 ，朝鲜式词汇如使用"래일"而非"내일"(明天)，以及"지령"(命令)、"체계 정보"(系统信息)等术语暴露了来源。这种语言分析与重复出现的C2地址和代码模式等技术标记相结合，强化了对Kimsuky的归因
 。

Kimsuky的基础设施横跨raedom[.]store、securedrive.fin-tech[.]com和kida.plusdocs.kro[.]kr等域名，通常托管在韩国和美国服务器上。追踪到中国和越南的IP也参与其中，建站模板表明这是一个地理分布广泛的操作。

感染链经常使用Proton Drive或Google Drive进行文件传递 ，进一步将恶意文件伪装成合法文件。GSC提供的MD5哈希和变体信息表明其快速迭代和针对性部署  。

"ClickFix本质上是一种心理操控策略 ，引导用户在不知不觉中一步步运行恶意命令
，而无法识别威胁，"GSC报告强调。为应对此类高级威胁，安全团队必须 ：

最新评论