黑客组织GrayCharlie利用ClickFix攻击劫持美国律师事务所,大量传播远控木马
2025 年 3 月底或 4 月初,SmartApeSG 从使用虚假浏览器更新转向部署 ClickFix 诱饵,反映了黑客组织越来越多采用 ClickFix 的趋势
执行摘要
Insikt 集团自 2023 年中期起一直监控与 SmartApeSG 重叠的威胁行为体 GrayCharlie,并已持续活跃,现正发布其首份报告。
GrayCharlie 攻破 WordPress 网站,并注入指向外部托管 JavaScript 的链接,将访客重定向到 NetSupport RAT 负载,这些负载通过虚假的浏览器更新页面或 ClickFix 机制传递。
这些感染通常会发展到 Stealc 和 SectopRAT 的部署。Insikt 集团发现大量与 GrayCharlie 相关的基础设施,主要与 MivoCloud 和 HZ Hosting Ltd.相关。
这包括 NetSupport RAT 命令与控制(C2)服务器,既有由演员控制的,也有被攻破的临时架构,以及用于管理运营的更高层级基础设施。
虽然大多数被攻破的网站似乎是机会主义的,且跨越多个行业,Insikt 集团识别出一组可能于 2025 年 11 月左右被攻破的美国律师事务所网站,可能是通过涉及共享 IT 供应商的供应链入侵。
Key Findings 主要发现
GrayCharlie 与 SmartApeSG 有重叠,最早于 2023 年中期出现,会向被攻破的 WordPress 网站注入外部托管的 JavaScript 链接。
这些链接将受害者重定向到通过虚假浏览器更新页面或 ClickFix 技术传播的 NetSupport RAT 感染,最终导致 Stealc 和 SectopRAT 感染。
背景
GrayCharlie 是 Insikt Group 对一个威胁活动组织的指定,该组织首次出现在 2023 年年中,背后是 SmartApeSG(也称为 ZPHP 或 HANEYMANEY)的幕后推手。
该组织的行动通常涉及向合法但被攻破的 WordPress 网站注入恶意 JavaScript。
访问这些网站的访客会看到逼真的、浏览器特有的假更新提示(比如 Chrome、Edge 或 Firefox),鼓励他们下载看似更新但实际上是恶意软件的内容。
威胁分析
Insikt 集团长期追踪 GrayCharlie,自 2023 年该角色出现以来一直观察其持续行为。
GrayCharlie 继续执行相同类型的运营,定期部署大量新基础设施,并遵循一致的战术、技术和程序(TTP),包括继续使用相同的感染链和 NetSupport RAT 负载。
该组织面向全球组织,特别关注美国。以下章节将详细分析 GrayCharlie 的运营基础设施及其两条主要攻击链。
冒充“Activitar”的网站
(来源:Recorded Future)
攻击组织
GrayCharlie
攻击手法
核心手段是利用ClickFix社会工程学技术诱导用户操作
感染链
攻击链始于被入侵的律师事务所网站。
访问者会看到虚假错误提示,被引导运行一个“修复”程序,该程序会下载一个远控木马(RAT)。
通过劫持合法网站(供应链攻击)传播,最终植入远控木马,控制受害者计算机。
攻击目标
该行动似乎针对访问这些被黑网站的特定行业或个人,可能旨在收集情报。
Insikt 集团自 2023 年中期起一直监控与 SmartApeSG 重叠的威胁行为体 GrayCharlie,并已持续活跃,现正发布其首份报告。
GrayCharlie 攻破 WordPress 网站,并注入指向外部托管 JavaScript 的链接,将访客重定向到 NetSupport RAT 负载,这些负载通过虚假的浏览器更新页面或 ClickFix 机制传递。
这些感染通常会发展到 Stealc 和 SectopRAT 的部署。Insikt 集团发现大量与 GrayCharlie 相关的基础设施,主要与 MivoCloud 和 HZ Hosting Ltd.相关。
这包括 NetSupport RAT 命令与控制(C2)服务器,既有由演员控制的,也有被攻破的临时架构,以及用于管理运营的更高层级基础设施。
虽然大多数被攻破的网站似乎是机会主义的,且跨越多个行业,Insikt 集团识别出一组可能于 2025 年 11 月左右被攻破的美国律师事务所网站,可能是通过涉及共享 IT 供应商的供应链入侵。
Key Findings 主要发现
GrayCharlie 与 SmartApeSG 有重叠,最早于 2023 年中期出现,会向被攻破的 WordPress 网站注入外部托管的 JavaScript 链接。
这些链接将受害者重定向到通过虚假浏览器更新页面或 ClickFix 技术传播的 NetSupport RAT 感染,最终导致 Stealc 和 SectopRAT 感染。
背景
GrayCharlie 是 Insikt Group 对一个威胁活动组织的指定,该组织首次出现在 2023 年年中,背后是 SmartApeSG(也称为 ZPHP 或 HANEYMANEY)的幕后推手。
该组织的行动通常涉及向合法但被攻破的 WordPress 网站注入恶意 JavaScript。
访问这些网站的访客会看到逼真的、浏览器特有的假更新提示(比如 Chrome、Edge 或 Firefox),鼓励他们下载看似更新但实际上是恶意软件的内容。
威胁分析
Insikt 集团长期追踪 GrayCharlie,自 2023 年该角色出现以来一直观察其持续行为。
GrayCharlie 继续执行相同类型的运营,定期部署大量新基础设施,并遵循一致的战术、技术和程序(TTP),包括继续使用相同的感染链和 NetSupport RAT 负载。
该组织面向全球组织,特别关注美国。以下章节将详细分析 GrayCharlie 的运营基础设施及其两条主要攻击链。
冒充“Activitar”的网站
(来源:Recorded Future)
攻击组织
GrayCharlie
攻击手法
核心手段是利用ClickFix社会工程学技术诱导用户操作
感染链
攻击链始于被入侵的律师事务所网站。
访问者会看到虚假错误提示,被引导运行一个“修复”程序,该程序会下载一个远控木马(RAT)。
通过劫持合法网站(供应链攻击)传播,最终植入远控木马,控制受害者计算机。
攻击目标
该行动似乎针对访问这些被黑网站的特定行业或个人,可能旨在收集情报。
关于作者
评论1次
### 结论 GrayCharlie组织通过劫持WordPress网站供应链,利用JavaScript重定向与ClickFix社会工程手段,诱导用户下载恶意RAT。攻击路径集中在前端注入、用户交互欺骗、负载下载三个环节,需从源代码污染入口、交互逻辑漏洞、C2通信链路三方面进行防御。 --- ### 分析路径 **L1 攻击面识别** 1. **前端注入入口**:被攻破网站的源代码中是否存在恶意JS引用(如`<script src=//C2.js>`)。 2. **供应链漏洞**:律师事务所可能通过共享IT供应商引入恶意代码,需追溯供应商的软件更新、CMS插件供应链。 3. **ClickFix触发条件**:伪造的浏览器错误提示是否依赖特定浏览器版本或插件缺失状态。 **L2 假设与验证** - **假设1**:攻击者通过WebShell或漏洞(如WP插件漏洞)植入JS钩子。 - 验证:检查网站WP插件版本、文件哈xi、异常HTTP POST请求(如`/wp-admin/admin-ajax.php`)。 - **假设2**:恶意JS通过`window.location`或`eval()`实现重定向。 - 验证:抓包分析前端JS执行逻辑,寻找`eval()`、`XMLHttpRequest`到C2的流量。 **L3 边界/异常场景** - **浏览器差异**:攻击可能绕过浏览器安全机制(如CSP),需验证被黑网站的CSP策略是否被篡改。 - **用户交互旁路**:是否存在自动化下载(如伪造弹窗+`window.open()`强制跳转)。 **L4 防御反推与修复** - **C2通信特征**:NetSupport RAT通常使用明文HTTP或特定端口(如80/443),需分析域名解析日志和异常DNS请求。 - **RAT植入痕迹**:检查终端日志中可疑进程(如`nswshell.exe`)及注册表持久化项(如`HKCU\Software\NSClient`)。 --- ### 验证步骤 1. **源代码审计** ```bash # 下载目标网站HTML并检查注入点 curl -s https://victim-website.com | grep -Ei 'script|src|eval' ``` 2. **网络流量捕获** ```bash # 使用Wireshark过滤HTTP重定向与C2通信 tshark -Y "http.host contains 'mivocloud' || http.refer contains 'NetSupport'" ``` 3. **JS行为分析** - 用Burp Collaborator检测恶意JS的C2回调。 - 逆向可疑JS中的Base64/混淆代码,寻找`download`或`exec`逻辑。 4. **终端检测** ```bash # Windows终端检测NetSupport RAT特征 Get-ChildItem -Path C:\Users\*\Downloads\ -Recurse | Select-String -Pattern "nswshell" ``` --- ### 修复建议 1. **供应链加固** - 强制审计律师事务所网站的CMS版本、插件供应链,使用`WPScan`扫描已知漏洞。 - 对共享IT供应商的更新包进行签名验证与沙箱执行测试。 2. **前端污染阻断** - 部署Web应用防火墙(WAF)规则,拦截`<script src="external.js">`等动态脚本注入。 - 在Nginx/Apache配置中设置严格CSP:`Content-Security-Policy: script-src 'self'`。 3. **用户交互防御** - 部署浏览器扩展(如NoScript)或EDR规则,拦截非信任域的下载弹窗。 4. **网络层防御** - 封锁已知C2 IP(如MivoCloud/HZ Hosting关联IP段)及高危端口(如NetSupport默认端口12345)。 5. **日志监控** - 设置SIEM规则检测`window.open()`高频调用、异常.exe下载及注册表修改事件。 --- 关键点:攻击核心在于前端代码污染与用户交互欺骗,需从**代码注入入口**、**JS行为控制**、**RAT执行路径**三个环节同步防御。若无目标网站样本,可从C2基础设施侧(域名/IP)溯源反推注入逻辑。