关键词
恶意软件
FBI于周四发布安全通告,警告朝鲜国家支持的黑客正利用恶意QR码,针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。
FBI在紧急通告中指出:“截至2025年,Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码,针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’。”
利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略,这使得攻击者能够有效绕过传统防御。
背景与手法
Kimsuky(亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima)是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。
2024年5月,美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略,发送看似来自合法域名的电子邮件。
具体攻击案例
FBI称,其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码,具体包括:
冒充外国顾问,向某智库负责人发送电子邮件,请求对方就朝鲜半岛近期动态提供见解,并要求扫描QR码以访问问卷。
冒充大使馆员工,向某智库高级研究员发送电子邮件,请求就朝鲜人权问题提供意见,并附上声称可访问安全云盘的QR码。
冒充智库员工,在电子邮件中附上QR码,意图将受害者引导至其控制的基础设施以进行后续攻击活动。
向一家战略咨询公司发送电子邮件,邀请其参加一个虚构的会议,并敦促收件人扫描QR码,将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。
就在此披露不到一个月前,ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。
FBI指出:“QR码钓鱼攻击通常以窃取和重放会话令牌告终,这使得攻击者能够绕过多因素认证,并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后,攻击者会在组织内建立持久存在,并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。”
“由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备,QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。”
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴