FBI表示,北韓國家支持的駭客組織Kimsuky APT正在使用惡意QR碼入侵與北韓政策相關的美國組織。
這項警告來自FBI於2025年發布的FLASH報告,該報告與非政府組織、智庫、大學和政府相關團體共享。該機構表示,這些目標都有一個共同點:他們研究、提供建議或從事與北韓相關的工作。
根據FBI的說法,Kimsuky APT正在進行依賴QR碼而非連結的魚叉式網路釣魚活動,這種方法被稱為Quishing。
這些QR碼隱藏了有害的URL,受害者幾乎總是使用手機而非工作電腦掃描它們。這種轉變讓攻擊者得以繞過通常能捕捉網路釣魚的電子郵件過濾器、連結掃描器和沙盒工具。
Kimsuky APT向政策和研究目標發送基於QR碼的電子郵件
FBI表示,Kimsuky APT在2025年使用了多個主題電子郵件。每封郵件都符合目標的工作和興趣。5月時,攻擊者冒充外國顧問,向一位智庫領導人發送電子郵件,詢問對朝鮮半島近期事件的看法。該電子郵件包含一個聲稱可以開啟問卷的QR碼。
5月稍晚時,該組織冒充大使館工作人員。該電子郵件發送給智庫的一位資深研究員,詢問關於北韓人權的意見。QR碼聲稱可以解鎖一個安全磁碟機。同月,另一封電子郵件假裝來自智庫員工。掃描其QR碼會將受害者引導至Kimsuky APT為惡意活動建立的基礎設施。
2025年6月,FBI表示該組織針對一家戰略諮詢公司。電子郵件邀請員工參加一個不存在的會議。QR碼將用戶引導至註冊頁面。註冊按鈕隨後將訪問者引導至假的Google登入頁面。該頁面收集用戶名稱和密碼。FBI將此步驟與追蹤為T1056.003的憑證竊取活動聯繫起來。
掃描QR碼導致令牌竊取和帳戶接管
FBI表示,這些攻擊中有許多以會話令牌竊取和重放結束。這使攻擊者能夠繞過多因素驗證而不觸發警報。帳戶被悄悄接管。之後,攻擊者更改設定、增加訪問權限並保持控制。FBI表示,遭入侵的郵箱隨後被用於在同一組織內部發送更多魚叉式網路釣魚電子郵件。
FBI指出,這些攻擊始於個人手機。這使它們處於正常端點偵測工具和網路監控之外。因此,FBI表示:-
FBI敦促組織降低風險。該機構表示,應該警告員工不要掃描來自電子郵件、信件或傳單的隨機QR碼。培訓應涵蓋虛假緊急情況和冒充行為。員工應在登入或下載檔案之前通過直接聯繫來驗證QR碼請求。應建立明確的報告規則。
FBI還建議使用:-「對所有遠端訪問和敏感系統使用抗網路釣魚的MFA」,以及「根據最小權限原則審查訪問權限,並定期審核未使用或過度的帳戶權限」。
最聰明的加密貨幣專家已經在閱讀我們的電子報。想加入嗎?加入他們吧。
來源: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
