故障修复之下的陷阱：Lazarus（APT-Q-1）近期利用 ClickFix 手法的攻击分析

主要观点总结

该文章描述了一个名为Lazarus的APT组织利用ClickFix手法进行钓鱼攻击的活动。文章详细描述了攻击链、涉及的文件和MD5值、样本的相关信息，并总结了攻击特点和相关建议。在最后部分提供了一些情报线索以供溯源。

关键观点总结

关键观点1: APT组织介绍

Lazarus是一个疑似具有东北亚背景的APT组织，因攻击索尼影业而受到广泛关注，其攻击活动可追溯至2007年。该组织主要针对政府机构及金融机构、虚拟货币交易场所等目标进行攻击，自2014年后开始频繁攻击全球金融机构。

关键观点2: 攻击手段介绍

Lazarus利用虚假的社交账号发起钓鱼攻击，并在攻击中融入ClickFix手法。受害者被诱导到攻击者搭建的面试网站，网站会在特定时机提示受害者配置错误并给出修复方案，修复命令看起来是下载Nvidia相关软件的更新，实则植入恶意软件。

关键观点3: 样本及关联信息

文章描述了与Lazarus ClickFix攻击活动相关的样本信息，包括文件名、MD5值、下载链接等。这些样本中包含了恶意压缩包、run.vbs脚本、shell.bat脚本、BeaverTail窃密软件等。此外，文章还提到了攻击者的其他样本，除了Windows平台还涉及macOS平台。

关键观点4: 溯源关联与防护建议

文章提到ClickFix-1.bat脚本中的命令与Lazarus组织的相关报告高度相似，并部署了BeaverTail和InvisibleFerret恶意软件。最后文章提醒用户注意钓鱼攻击，并给出了防护建议。