Genians安全中心(GSC)最新威脅情報報告揭示了朝鮮網絡行動的新演變——將社會工程學武器化到令人不寒而栗的程度。報告披露了名為"ClickFix"的欺騙性策略被擴大使用，該策略被歸因于朝鮮國家支持的APT（高級持續威脅）組織Kimsuky，該組織一直通過魚叉式釣魚、虛假招聘門戶和混淆的PowerShell命令積極針對專家和機構。

"BabyShark"威脅系列示意圖 | 圖片來源：Genians

心理操控的精密陷阱

"ClickFix是一種欺騙性策略，誘使用戶在不知情的情況下自行參與攻擊鏈，"報告警告稱。"ClickFix"一詞最早于2024年4月通過Proofpoint的研究出現，描述了一種攻擊方式：用戶以為自己在修復瀏覽器錯誤，從虛假的Chrome錯誤消息中復制PowerShell命令——無意中釋放了惡意軟件。

到2025年初，GSC確認Kimsuky已將這種技術武器化，并將其整合到他們長期運行的"BabyShark"威脅活動中。ClickFix的精妙之處——也是其危險之處——在于其隱蔽性。與充滿危險信號的典型釣魚郵件不同，ClickFix通過熟悉感建立信任。它偽裝成：

• 包含多語言說明的PDF手冊
• 面向國防研究人員的求職網站
• 韓國門戶網站的偽造安全設置頁面

訪問安全文檔的說明手冊 | 圖片來源：Genians

多管齊下的攻擊手法

2025年3月的一起釣魚案例中，攻擊者冒充美國國家安全助理，要求目標使用文本文件中的"認證碼"訪問"安全文檔"。陷阱在于：該代碼實際上是經過反向混淆的PowerShell命令，視覺上被打亂以避免懷疑：

$req_value=-join $value.ToCharArray()[-1..-$value.Length];
cmd /c $req_value;
exit;

執行后，該命令將受害者的機器連接到命令與控制(C2)服務器，建立持久性并收集敏感信息。GSC報告強調了多種傳播方法：

• 基于VBS的魚叉式釣魚：以面試邀請為誘餌，通過pCloud發送惡意VBS文件，啟動數據外泄至C2域名konamo[.]xyz
• 基于網絡的漏洞利用：虛假招聘門戶誘使用戶安裝Chrome遠程桌面，為攻擊者提供基于SSH的遠程訪問
• 驗證碼欺騙：偽造門戶網站要求用戶完成驗證碼，實則執行偽裝成常規安全行為的PowerShell代碼

語言指紋與基礎設施

所有變種都導致類似結果：通過HncUpdateTray.exe等熟悉名稱實現完全系統入侵，這是一個被重新用于數據竊取的AutoIt腳本。除了基礎設施重疊和惡意軟件重用外，GSC報告還揭示了更微妙之處：語言指紋。

在釣魚信息中，朝鮮式詞匯如使用"??"而非"??"(明天)，以及"??"(命令)、"?? ??"(系統信息)等術語暴露了來源。這種語言分析與重復出現的C2地址和代碼模式等技術標記相結合，強化了對Kimsuky的歸因。

Kimsuky的基礎設施橫跨raedom[.]store、securedrive.fin-tech[.]com和kida.plusdocs.kro[.]kr等域名，通常托管在韓國和美國服務器上。追蹤到中國和越南的IP也參與其中，表明這是一個地理分布廣泛的操作。

防御建議

感染鏈經常使用Proton Drive或Google Drive進行文件傳遞，進一步將惡意文件偽裝成合法文件。GSC提供的MD5哈希和變體信息表明其快速迭代和針對性部署。

"ClickFix本質上是一種心理操控策略，引導用戶在不知不覺中一步步運行惡意命令，而無法識別威脅，"GSC報告強調。為應對此類高級威脅，安全團隊必須：

• 部署端點檢測與響應(EDR)工具識別異常命令行行為
• 投資安全意識培訓——特別是突出真實攻擊模擬
• 強化瀏覽器安全，為非管理員用戶禁用不必要的PowerShell訪問