江蘇
關鍵詞
惡意軟件
FBI于周四發布安全通告,警告朝鮮國家支持的黑客正利用惡意QR碼,針對美國境內的實體機構發起魚叉式網絡釣魚攻擊。
FBI在緊急通告中指出:“截至2025年,Kimsuky黑客組織已通過在魚叉式釣魚攻擊中嵌入惡意二維碼,針對智庫、學術機構以及美國和外國政府實體發起攻擊。此類攻擊被稱為‘QR碼釣魚攻擊’。”
利用QR碼進行釣魚是一種迫使受害者從受企業安全策略保護的設備轉移到可能缺乏同等防護水平的移動設備上的策略,這使得攻擊者能夠有效繞過傳統防御。
背景與手法
Kimsuky(亦被追蹤為APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima)是被評估隸屬于朝鮮偵察總局的黑客組織。該組織長期以來一直精心策劃專門旨在規避電子郵件身份驗證協議的魚叉式釣魚攻擊。
2024年5月,美國政府曾點名該黑客組織利用配置不當的基于域的消息認證、報告和一致性記錄策略,發送看似來自合法域名的電子郵件。
具體攻擊案例
FBI稱,其在2025年5月和6月多次觀察到Kimsuky組織在定向釣魚攻擊中使用惡意QR碼,具體包括:
冒充外國顧問,向某智庫負責人發送電子郵件,請求對方就朝鮮半島近期動態提供見解,并要求掃描QR碼以訪問問卷。
冒充大使館員工,向某智庫高級研究員發送電子郵件,請求就朝鮮人權問題提供意見,并附上聲稱可訪問安全云盤的QR碼。
冒充智庫員工,在電子郵件中附上QR碼,意圖將受害者引導至其控制的基礎設施以進行后續攻擊活動。
向一家戰略咨詢公司發送電子郵件,邀請其參加一個虛構的會議,并敦促收件人掃描QR碼,將其重定向到一個旨在通過虛假登錄頁面竊取其谷歌賬戶憑據的注冊登錄頁面。
就在此披露不到一個月前,ENKI曾揭示Kimsuky在一次模仿首爾某物流公司的釣魚郵件活動中使用QR碼分發名為DocSwap的新型安卓惡意軟件變種。
FBI指出:“QR碼釣魚攻擊通常以竊取和重放會話令牌告終,這使得攻擊者能夠繞過多因素認證,并在不觸發典型‘MFA失敗’警報的情況下劫持云身份。隨后,攻擊者會在組織內建立持久存在,并從被入侵的郵箱發起二次魚叉式釣魚攻擊。”
“由于入侵路徑始于常規端點檢測與響應及網絡監控邊界之外的、不受管理的移動設備,QR碼釣魚攻擊目前被視為企業環境中一種高成功率、能抵抗MFA的身份入侵途徑。”
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
