ClickFix 攻擊在威脅分子中越來越受歡迎，來自朝鮮、伊朗和俄羅斯的多個高級持續(xù)威脅（APT）組織在最近的間諜活動中采用了這種技術(shù)。

ClickFix 是一種社會工程策略，惡意網(wǎng)站冒充合法軟件或文檔共享平臺。目標(biāo)是通過網(wǎng)絡(luò)釣魚或惡意廣告引誘，并顯示虛假的錯誤信息，聲稱文件或下載失敗。

然后，受害者被提示點(diǎn)擊 " 修復(fù) " 按鈕，該按鈕指示他們運(yùn)行 PowerShell 或命令行腳本，從而在他們的設(shè)備上執(zhí)行惡意軟件。

微軟威脅情報團(tuán)隊去年 2 月報告稱，朝鮮黑客 "Kimsuky" 也將其用作虛假 " 設(shè)備注冊 " 網(wǎng)頁的一部分。

來自 Proofpoint 的一份最新報告顯示，在 2024 年底到 2025 年初之間，Kimsuky（朝鮮）、MuddyWater（伊朗）以及 APT28 和 UNK_RemoteRogue（俄羅斯）都在他們的目標(biāo)間諜活動中使用了 ClickFix。

ClickFix 啟用智能操作

從 Kimsuky 開始，攻擊發(fā)生在 2025 年 1 月至 2 月，目標(biāo)是專注于朝鮮相關(guān)政策的智庫。朝鮮黑客利用欺騙的韓語、日語或英語電子郵件，假裝發(fā)件人是日本外交官，以啟動與目標(biāo)的聯(lián)系。

在建立信任之后，攻擊者發(fā)送了一個惡意的 PDF 文件，鏈接到一個假的安全驅(qū)動器，提示目標(biāo)通過手動復(fù)制 PowerShell 命令到他們的終端來 " 注冊 "。

這樣做會獲取第二個腳本，該腳本為持久化設(shè)置計劃任務(wù)并下載 QuasarRAT，同時向受害者顯示一個誘餌 PDF 以進(jìn)行轉(zhuǎn)移。

MuddyWater 攻擊發(fā)生在 2024 年 11 月中旬，以偽裝成微軟安全警報的電子郵件攻擊了中東的 39 家組織。

收件人被告知，他們需要通過在計算機(jī)上以管理員身份運(yùn)行 PowerShell 來應(yīng)用關(guān)鍵的安全更新。這導(dǎo)致了 "Level" 的自我感染，這是一種可以促進(jìn)間諜活動的遠(yuǎn)程監(jiān)控和管理（RMM）工具。

第三個案例涉及俄羅斯威脅組織 UNK_RemoteRogue，該組織于 2024 年 12 月針對與一家主要武器制造商密切相關(guān)的兩個組織。

這些惡意郵件是從 Zimbra 服務(wù)器上發(fā)送的，欺騙了微軟辦公軟件。點(diǎn)擊嵌入的鏈接，目標(biāo)就會進(jìn)入一個假的微軟 Word 頁面，上面有俄語說明和 YouTube 視頻教程。

運(yùn)行代碼執(zhí)行的 JavaScript 啟動了 PowerShell，從而連接到運(yùn)行 Empire 命令和控制（C2）框架的服務(wù)器。

Proofpoint 報告稱，早在 2024 年 10 月，GRU 單位 APT28 也使用了 ClickFix，使用仿冒谷歌電子表格、reCAPTCHA 步驟和通過彈出窗口傳達(dá)的 PowerShell 執(zhí)行指令的網(wǎng)絡(luò)釣魚郵件。

運(yùn)行這些命令的受害者在不知情的情況下建立了 SSH 隧道并啟動了 Metasploit，為攻擊者提供了訪問其系統(tǒng)的后門。

ClickFix 仍然是一種有效的方法，因為缺乏對未經(jīng)請求的命令執(zhí)行的意識，仍被多個黑客組織采用。