index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
Lazarus 是一个疑似具有东北亚背景的 APT 组织,该组织在 2014 年攻击索尼影业后开始受到广泛关注。近期,Lazarus 团伙在以虚假招聘为诱饵的钓鱼攻击中融入了 ClickFix 手法。攻击者会向受害者展示一个并不存在的故障,诱使受害者按照攻击者提供的指示“修复”故障,实际上受害者主动运行的“修复”命令正是经过伪装的恶意代码。攻击者会引导受害者下载虚假的 Nvidia 软件包,该软件包会进一步部署 Node.js 环境并执行 Lazarus 组织常用的 BeaverTail 恶意软件。对于 Windows 11 的系统,攻击者还会运行一个具有命令执行、读写指定文件功能的后门 drvUpdate.exe。该攻击活动还影响到 macOS 系统用户。
🔍 Lazarus 是一个疑似具有东北亚背景的 APT 组织,该组织在 2014 年攻击索尼影业后开始受到广泛关注,其攻击活动最早可追溯到 2007 年。
📰 Lazarus 团伙在以虚假招聘为诱饵的钓鱼攻击中融入了 ClickFix 手法,攻击者会向受害者展示一个并不存在的故障,诱使受害者按照攻击者提供的指示“修复”故障,实际上受害者主动运行的“修复”命令正是经过伪装的恶意代码。
📥 攻击者会引导受害者下载虚假的 Nvidia 软件包,该软件包会进一步部署 Node.js 环境并执行 Lazarus 组织常用的 BeaverTail 恶意软件。
📊 对于 Windows 11 的系统,攻击者还会运行一个具有命令执行、读写指定文件功能的后门 drvUpdate.exe。
🍎 该攻击活动还影响到 macOS 系统用户。
原创 红雨滴团队 2025-08-28 09:44 四川
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,钓鱼网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。
团伙背景
Lazarus 是疑似具有东北亚背景的 APT 组织,奇安信内部跟踪编号 APT-Q-1。该组织因 2014 年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到 2007 年。Lazarus 早期主要针对政府机构,以窃取敏感情报为目的,但自 2014 年后,开始攻击全球金融机构、虚拟货币交易场所等目标,从受害者处盗取金钱资产。Lazarus 曾多次利用虚假的社交账号,以提供工作机会为伪装,向特定行业人员发起钓鱼攻击。事件概述
ClickFix 是近年来兴起的一种社会工程学攻击手段,攻击者向受害者展示一个并不存在的故障,诱使受害者按照攻击者提供的指示“修复”故障,实际上受害者主动运行的“修复”命令正是经过伪装的恶意代码。Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,受害者被虚假工作机会吸引到攻击者搭建的面试网站,网站指导受害者准备面试环境。当受害者按照指示操作时,网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。不久前国外的一些报告[1, 2]记录了该钓鱼过程。近期,奇安信威胁情报中心发现一个与 Lazarus ClickFix 攻击活动有关的 bat 脚本,该脚本下载虚假的 Nvidia 软件包[3]。恶意软件包进一步部署 Node.js 环境,执行 Lazarus 组织常用的 BeaverTail 恶意软件。对于 Windows11 的系统,攻击者还会运行一个具有命令执行、读写指定文件功能的后门 drvUpdate.exe。根据关联,该攻击活动还影响到 macOS 系统用户。详细分析
样本相关信息如下:MD5文件名说明
f9e18687a38e968811b93351e9fca089ClickFix-1.bat下载恶意压缩包a4e58b91531d199f268c5ea02c7bf456nvidiaRelease.zip包含恶意软件的压缩包3ef7717c8bcb26396fc50ed92e812d13run.vbs恶意脚本983a8a6f4d0a8c887536f5787a6b01a2shell.bat恶意脚本b52e105bd040bda6639e958f7d9e3090main.jsBeaverTail 窃密软件6175efd148a89ca61b6835c77acc7a8ddrvUpdate.exe针对Win11 运行的后门攻击链ClickFix-1.bat 点击运行后从 hxxps://driverservices.store/visiodrive/nvidiaRelease.zip 下载恶意压缩包,压缩包解压后执行其中的 run.vbs 脚本。下载的压缩包 nvidiaRelease.zip 中内容如下。Run.vbs 检查操作系统的 BuildNumber 是否不低于 22000(即是否为 Win11),如果是则运行压缩包中的后门 drvUpdate.exe 文件,该文件的具体作用在后面介绍。并且 run.vbs 通过获取 Node.js 的版本判断是否存在 Node.js 环境,存在则直接运行 shell.bat,不存在则以管理员身份运行 shell.bat。Shell.bat 在 Node.js 不存在的情况下,下载并安装 Node.js 运行环境。在 shell.bat 文件所在的目录运行 npm install 和 npm start 命令。最后通过注册表建立持久化,添加的命令为"\"%USERPROFILE%\.pyp\pythonw.exe\" \"%USERPROFILE%\.n2\pay\"",该路径为 Lazarus 后续下载 Python 木马 InvisibleFerret 的常用保存路径。Shell.bat 执行 npm 命令时,根据同目录下的 package.json 配置信息,将运行 main.js。Main.js 为 Lazarus 常用的跨操作系统窃密软件 BeaverTail,C2 服务器为 hxxp://45.159.248.110。BeaverTail 还会从 C2 服务器下载并部署 Python 木马 InvisibleFerret。MD5下载链接保存位置17eb90ac00007154a6418a91bf8da9c7hxxp://45.159.248.110/client/xyz2[home_dir]/.npl5e698d6f14e10616b0dbb1496e574a91hxxp://45.159.248.110/payload/xyz2[home_dir]/.n2/payd9fb02481d1df9f93b7d8e84dc7e097fhxxp://45.159.248.110/brow/xyz2[home_dir]/.n2/bow后门 drvUpdate.exe下载压缩包中的 drvUpdate.exe 名称伪装成驱动更新,但实际上是一个后门,可以执行攻击者下发的 cmd 命令,写入和读取指定文件。后门连接的 C2 服务器为 103.231.75.101:8888。通过向 C2 服务器发送 challenge 信息,并对比接收数据,判断服务器是否可以正常连接。函数 0x401620 负责后门指令分发,支持的后门指令如下。指令码说明0x4回传收集的各种设备信息,包括用户名、主机名、操作系统版本、网卡IP 和MAC 地址0x6使用cmd.exe 执行命令0x8写入文件0x9休眠60 秒,然后向服务器发送"QA==\r\n"0x18读取指定文件内容命令执行功能如下。写入文件功能如下,该功能有 3 个子命令:“0”打开指定文件,“1”向打开文件写入指定内容,“2”关闭文件。读取文件功能如下。溯源关联最初阶段 ClickFix-1.bat 脚本中的命令与 Lazarus 相关报告[1, 2]中提到的命令高度相似,并且最后部署 BeaverTail 和 InvisibleFerret 恶意软件,因此我们将相关样本归属为 Lazarus 组织。关联发现攻击者的其他样本,除了 Windows 还涉及 macOS 系统。Windows 平台样本如下,与前面描述的样本相比整体变化不大,其中加载的 BeaverTail 恶意软件连接的 C2 服务器为 hxxp://45.89.53.54。文件名MD5说明nvidiaReleasenew.zip8c274285c5f8914cdbb090d72d1720d3zip 压缩包,下载链接为:hxxps://driverservices.store/visiodrive/nvidiaReleasenew.zipcam_driverb73fd8f21a2ed093f8caf0cf4b41aa4dzip 压缩包,下载链接为:hxxps://block-digital.online/drivers/cam_driver针对 macOS 平台的样本如下,伪装的名称 arm-fixer 意为对 arm64 架构的修复方案。文件名MD5说明arm64-fixercdf296d7404bd6193514284f021bfa54zip 压缩包,下载链接为:hxxps://driverservices.store/visiodrive/arm64-fixerarm64-fixernewcbd183f5e5ed7d295d83e29b62b15431zip 压缩包,下载链接为:hxxps://driverservices.store/visiodrive/arm64-fixernewmac-v-j1722.fixera009cd35850929199ef60e71bce86830Shell 脚本,用于下载arm64-fixernewShell 脚本内容如下,其中针对 arm64 和 intel 芯片架构使用的是相同下载 URL,下载包解压后执行其中的 drivfixer.sh 脚本。下载压缩包中内容如下。Drivfixer.sh 同样是先检测 Node.js 是否存在,不存在则下载安装。设置 plist 将 drivfixer.sh 持久化,plist 路径为"~/Library/LaunchAgents/com.local.drvierUpdate.plist"。然后通过 npm 执行同目录下的 main.js。Main.js 包含的是与 Windows 样本相同的 BeaverTail 恶意软件。总结社会工程学手段往往不需要复杂的技术,但由于击中了人们的认知和心理的盲区,攻击者通过操纵受害者的心理就能使其在不经意间“配合”完成攻击行动。Lazarus 组织近期利用 ClickFix 手法,针对 Windows 和 macOS 多平台频繁出击,反映出该方法屡试不爽。因此在访问未知网站时,一定要对网站要求在本机运行的命令和文件提高警惕,避免掉入陷阱。防护建议奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的 APP。做到及时备份重要文件,更新安装补丁。若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括 Windows、安卓平台在内的多种格式文件深度分析。目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信 NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。IOCMD5(Windows 平台)f9e18687a38e968811b93351e9fca089a4e58b91531d199f268c5ea02c7bf4563ef7717c8bcb26396fc50ed92e812d13983a8a6f4d0a8c887536f5787a6b01a26175efd148a89ca61b6835c77acc7a8d8c274285c5f8914cdbb090d72d1720d3b73fd8f21a2ed093f8caf0cf4b41aa4d(macOS 平台)cdf296d7404bd6193514284f021bfa54cbd183f5e5ed7d295d83e29b62b15431a009cd35850929199ef60e71bce8683013400d5c844b7ab9aacc81822b1e7f02(BeaverTail)b52e105bd040bda6639e958f7d9e309015e48aef2e26f2367e5002e6c3148e1fC&Cdriverservices.storeblock-digital.onlinehxxp://45.159.248.110hxxp://45.89.53.54103.231.75.101:8888URLhxxps://driverservices.store/visiodrive/nvidiaRelease.ziphxxps://driverservices.store/visiodrive/nvidiaReleasenew.ziphxxps://driverservices.store/visiodrive/arm64-fixerhxxps://driverservices.store/visiodrive/arm64-fixernewhxxps://block-digital.online/drivers/cam_driver参考链接[1].https://www.gendigital.com/blog/insights/research/deceptive-nvidia-attack[2].https://medium.com/@anyrun/pylangghost-rat-rising-data-stealer-from-lazarus-group-targeting-finance-and-technology-d65cf790fb6d[3].https://x.com/RedDrip7/status/1954801591938170935点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
