黑客组织GrayCharlie利用ClickFix攻击劫持美国律师事务所,大量传播远控木马
2025 年 3 月底或 4 月初,SmartApeSG 从使用虚假浏览器更新转向部署 ClickFix 诱饵,反映了黑客组织越来越多采用 ClickFix 的趋势
执行摘要
Insikt 集团自 2023 年中期起一直监控与 SmartApeSG 重叠的威胁行为体 GrayCharlie,并已持续活跃,现正发布其首份报告。
GrayCharlie 攻破 WordPress 网站,并注入指向外部托管 JavaScript 的链接,将访客重定向到 NetSupport RAT 负载,这些负载通过虚假的浏览器更新页面或 ClickFix 机制传递。
这些感染通常会发展到 Stealc 和 SectopRAT 的部署。Insikt 集团发现大量与 GrayCharlie 相关的基础设施,主要与 MivoCloud 和 HZ Hosting Ltd.相关。
这包括 NetSupport RAT 命令与控制(C2)服务器,既有由演员控制的,也有被攻破的临时架构,以及用于管理运营的更高层级基础设施。
虽然大多数被攻破的网站似乎是机会主义的,且跨越多个行业,Insikt 集团识别出一组可能于 2025 年 11 月左右被攻破的美国律师事务所网站,可能是通过涉及共享 IT 供应商的供应链入侵。
Key Findings 主要发现
GrayCharlie 与 SmartApeSG 有重叠,最早于 2023 年中期出现,会向被攻破的 WordPress 网站注入外部托管的 JavaScript 链接。
这些链接将受害者重定向到通过虚假浏览器更新页面或 ClickFix 技术传播的 NetSupport RAT 感染,最终导致 Stealc 和 SectopRAT 感染。
背景
GrayCharlie 是 Insikt Group 对一个威胁活动组织的指定,该组织首次出现在 2023 年年中,背后是 SmartApeSG(也称为 ZPHP 或 HANEYMANEY)的幕后推手。
该组织的行动通常涉及向合法但被攻破的 WordPress 网站注入恶意 JavaScript。
访问这些网站的访客会看到逼真的、浏览器特有的假更新提示(比如 Chrome、Edge 或 Firefox),鼓励他们下载看似更新但实际上是恶意软件的内容。
威胁分析
Insikt 集团长期追踪 GrayCharlie,自 2023 年该角色出现以来一直观察其持续行为。
GrayCharlie 继续执行相同类型的运营,定期部署大量新基础设施,并遵循一致的战术、技术和程序(TTP),包括继续使用相同的感染链和 NetSupport RAT 负载。
该组织面向全球组织,特别关注美国。以下章节将详细分析 GrayCharlie 的运营基础设施及其两条主要攻击链。
冒充“Activitar”的网站
(来源:Recorded Future)
攻击组织
GrayCharlie
攻击手法
核心手段是利用ClickFix社会工程学技术诱导用户操作
感染链
攻击链始于被入侵的律师事务所网站。
访问者会看到虚假错误提示,被引导运行一个“修复”程序,该程序会下载一个远控木马(RAT)。
通过劫持合法网站(供应链攻击)传播,最终植入远控木马,控制受害者计算机。
攻击目标
该行动似乎针对访问这些被黑网站的特定行业或个人,可能旨在收集情报。
Insikt 集团自 2023 年中期起一直监控与 SmartApeSG 重叠的威胁行为体 GrayCharlie,并已持续活跃,现正发布其首份报告。
GrayCharlie 攻破 WordPress 网站,并注入指向外部托管 JavaScript 的链接,将访客重定向到 NetSupport RAT 负载,这些负载通过虚假的浏览器更新页面或 ClickFix 机制传递。
这些感染通常会发展到 Stealc 和 SectopRAT 的部署。Insikt 集团发现大量与 GrayCharlie 相关的基础设施,主要与 MivoCloud 和 HZ Hosting Ltd.相关。
这包括 NetSupport RAT 命令与控制(C2)服务器,既有由演员控制的,也有被攻破的临时架构,以及用于管理运营的更高层级基础设施。
虽然大多数被攻破的网站似乎是机会主义的,且跨越多个行业,Insikt 集团识别出一组可能于 2025 年 11 月左右被攻破的美国律师事务所网站,可能是通过涉及共享 IT 供应商的供应链入侵。
Key Findings 主要发现
GrayCharlie 与 SmartApeSG 有重叠,最早于 2023 年中期出现,会向被攻破的 WordPress 网站注入外部托管的 JavaScript 链接。
这些链接将受害者重定向到通过虚假浏览器更新页面或 ClickFix 技术传播的 NetSupport RAT 感染,最终导致 Stealc 和 SectopRAT 感染。
背景
GrayCharlie 是 Insikt Group 对一个威胁活动组织的指定,该组织首次出现在 2023 年年中,背后是 SmartApeSG(也称为 ZPHP 或 HANEYMANEY)的幕后推手。
该组织的行动通常涉及向合法但被攻破的 WordPress 网站注入恶意 JavaScript。
访问这些网站的访客会看到逼真的、浏览器特有的假更新提示(比如 Chrome、Edge 或 Firefox),鼓励他们下载看似更新但实际上是恶意软件的内容。
威胁分析
Insikt 集团长期追踪 GrayCharlie,自 2023 年该角色出现以来一直观察其持续行为。
GrayCharlie 继续执行相同类型的运营,定期部署大量新基础设施,并遵循一致的战术、技术和程序(TTP),包括继续使用相同的感染链和 NetSupport RAT 负载。
该组织面向全球组织,特别关注美国。以下章节将详细分析 GrayCharlie 的运营基础设施及其两条主要攻击链。
冒充“Activitar”的网站
(来源:Recorded Future)
攻击组织
GrayCharlie
攻击手法
核心手段是利用ClickFix社会工程学技术诱导用户操作
感染链
攻击链始于被入侵的律师事务所网站。
访问者会看到虚假错误提示,被引导运行一个“修复”程序,该程序会下载一个远控木马(RAT)。
通过劫持合法网站(供应链攻击)传播,最终植入远控木马,控制受害者计算机。
攻击目标
该行动似乎针对访问这些被黑网站的特定行业或个人,可能旨在收集情报。
关于作者
评论1次
结论
GrayCharlie组织通过劫持WordPress网站供应链,利用JavaScript重定向与ClickFix社会工程手段,诱导用户下载恶意RAT。攻击路径集中在前端注入、用户交互欺骗、负载下载三个环节,需从源代码污染入口、交互逻辑漏洞、C2通信链路三方面进行防御。
分析路径
L1 攻击面识别
<script src=//C2.js>)。L2 假设与验证
/wp-admin/admin-ajax.php)。window.location或eval()实现重定向。eval()、XMLHttpRequest到C2的流量。L3 边界/异常场景
window.open()强制跳转)。L4 防御反推与修复
nswshell.exe)及注册表持久化项(如HKCU\Software\NSClient)。验证步骤
download或exec逻辑。修复建议
WPScan扫描已知漏洞。<script src="external.js">等动态脚本注入。Content-Security-Policy: script-src 'self'。window.open()高频调用、异常.exe下载及注册表修改事件。关键点:攻击核心在于前端代码污染与用户交互欺骗,需从代码注入入口、JS行为控制、RAT执行路径三个环节同步防御。若无目标网站样本,可从C2基础设施侧(域名/IP)溯源反推注入逻辑。