多個國家級進階持續性威脅(APT)組織日前被發現採用ClickFix社交工程攻擊手法,其中包括來自北韓、伊朗與俄羅斯的駭客團體。這種新興的攻擊方式正成為網路間諜活動的重要工具,引發資安界高度關注。
ClickFix攻擊手法解析
ClickFix是一種社交工程戰術,透過惡意網站偽裝成合法軟體或文件共享平台來誘騙受害者。攻擊者會透過釣魚信件或惡意廣告引導目標上鉤,並顯示假的錯誤訊息,聲稱文件或下載失敗。受害者隨後被提示點擊「修復」按鈕,實際上卻會執行PowerShell或命令列腳本,導致惡意軟體在設備上執行。
自2024年3月起,包括TA571和ClearFake等多個網路犯罪組織已開始採用此手法,而現在國家級駭客也紛紛跟進。
國家級駭客攻擊案例
北韓Kimsuky(TA427)
北韓駭客組織Kimsuky採用多重攻擊手法。該組織在2025年1月至2月期間,透過偽裝成日本外交官的釣魚郵件,針對相關智庫發動ClickFix攻擊,誘導受害者執行PowerShell命令以安裝QuasarRAT木馬程式。
此外,AhnLab安全情報中心發現
Kimsuky還利用BlueKeep漏洞(CVE-2019-0708)入侵系統,並部署MySpy惡意軟體、RDPWrap工具及鍵盤側錄程式。自2023年10月以來,該組織主要攻擊南韓和日本的軟體、能源和金融業,並將目標擴及全球多國。
伊朗MuddyWater(TA450)
2024年11月中旬,伊朗駭客組織MuddyWater針對中東地區39個組織發動攻擊,主要鎖定金融和政府部門。攻擊郵件偽裝成微軟安全警告,誘騙收件者以管理員權限執行PowerShell命令,導致系統感染遠端監控工具「Level」。
俄羅斯APT28與UNK_RemoteRogue
俄羅斯方面則有兩個威脅團體加入ClickFix攻擊行列:
- UNK_RemoteRogue在2024年12月針對與主要軍火製造商關係密切的兩個組織發動攻擊。惡意郵件偽裝成Microsoft Office,誘導受害者訪問含有俄文說明和YouTube教學影片的假冒Word頁面,最終連接Empire C2框架。
- APT28(或稱TA422)早在2024年10月就採用ClickFix手法,針對烏克蘭實體組織發送偽裝成Google試算表的釣魚郵件,透過reCAPTCHA驗證程序,誘使受害者執行PowerShell命令建立SSH隧道並啟動Metasploit。
攻擊趨勢與防護建議
從2024年7月到2025年初,資安研究人員觀察到ClickFix攻擊急遽增加。儘管這些國家級駭客並未完全改變其攻擊手法,但已將ClickFix整合到初始感染階段,以更有效地執行惡意軟體。
微軟威脅情報團隊在2025年2月也證實,Kimsuky使用ClickFix技術作為偽造「設備註冊」網頁的一部分。目前尚未發現中國支持的駭客組織採用此技術。
資安專家預計未來幾個月內這種技術將在政府支持的網路間諜活動中變得更加常見,並建議:
- 切勿執行來路不明的命令或從網路來源複製的腳本
- 特別注意要求以管理員權限執行的指令
- 提高對社交工程攻擊的警覺性
- 驗證所有軟體更新訊息的真實性
- 定期進行員工資安教育訓練