FBI称,受朝鲜国家支持的黑客组织Kimsuky APT正在使用恶意二维码入侵与朝鲜政策有关的美国组织。.
这份警告来自FBI于2025年发布的一份简报《FBI FLASH》,该简报已分享给非政府组织、智库、大学和与政府相关的团体。FBI表示,所有目标都具有一个共同点:他们都研究朝鲜、为朝鲜提供咨询或在朝鲜周边地区开展工作。.
据 FBI 称,Kimsuky APT 正在开展使用二维码而不是链接的鱼叉式网络钓鱼活动,这种方法被称为 Quishing。.
二维码隐藏着恶意网址,受害者几乎总是用手机而不是工作电脑扫描它们。这种转变使得攻击者能够绕过通常能检测出网络钓鱼的电子邮件过滤器、链接扫描器和沙箱工具。.
Kimsuky APT 向政策和研究目标发送基于二维码的电子邮件
FBI称,Kimsuky APT组织在2025年使用了多封主题邮件。每封邮件都与目标对象的职业和兴趣相符。今年5月,攻击者伪装成外国顾问,向一位智库负责人发送邮件,询问其对近期朝鲜半岛局势的看法。邮件中包含一个二维码,声称扫描后可以打开一份问卷。.
5月下旬,该组织冒充大使馆工作人员,向一家智库的高级研究员发送了一封电子邮件,询问其对朝鲜人权状况的看法。邮件中的二维码声称可以解锁一个安全驱动器。同月,另一封邮件也伪装成来自该智库员工。扫描邮件中的二维码后,受害者会被引导至Kimsuky APT恶意活动基础设施。.
2025年6月,据FBI称,该团伙将目标锁定在一家战略咨询公司。他们发送的电子邮件邀请员工参加一个根本不存在的会议。扫描二维码后,用户会被引导至一个注册页面。点击注册按钮后,用户会被跳转到一个伪造的谷歌登录页面。该页面会收集用户名和密码。FBI将此步骤与编号为T1056.003的 trac窃取活动联系dent。.
二维码扫描会导致代币被盗和账户被盗。
“钓鱼攻击通常以会话令牌窃取和重放 [T1550.004] 结束,使攻击者能够绕过多因素身份验证 [T1550.004] 并劫持云身份,dent不会触发典型的“MFA 失败”警报,” 表示 联邦调查局
FBI表示,许多此类攻击最终都以窃取会话令牌并重放攻击告终。这使得攻击者能够绕过多因素身份验证而不触发警报。账户被悄无声息地接管。之后,攻击者会更改设置、添加访问权限并保持控制。FBI称,被攻破的邮箱随后会被用来在同一组织内部发送更多鱼叉式网络钓鱼邮件。.
联邦调查局指出,这些攻击始于个人手机。这使得它们无法被常规的终端检测工具和网络监控手段检测到。因此,联邦调查局表示:
“在企业环境中,Quishing 现在被认为是一种高可信度、能够抵御多因素dent验证的身份入侵途径。”
美国联邦调查局敦促各机构降低风险。该机构表示,应提醒员工谨慎扫描电子邮件、信件或传单上的随机二维码。培训内容应涵盖虚假紧急通知和身份冒用等防范措施。员工在登录或下载文件前,应通过直接联系核实二维码请求。此外,还应制定清晰的报告规则。.
FBI 还建议使用:- “对所有远程访问和敏感系统使用防钓鱼的多因素身份验证”,以及“根据最小权限原则审查访问权限,并定期审核是否存在未使用或过多的帐户权限”。
