Kimsuki Phishing QR Codes Attack
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra cảnh báo công khai rằng các tác nhân đe dọa do nhà nước Triều Tiên bảo trợ đang tích cực sử dụng mã QR độc hại trong các chiến dịch tấn công lừa đảo có chủ đích nhắm vào các tổ chức tại Hoa Kỳ. Các hoạt động này, được quan sát thấy trong suốt năm 2025, thể hiện sự chuyển dịch ngày càng tăng sang hình thức "quishing" - các cuộc tấn công lừa đảo dựa vào mã QR để phát tán nội dung độc hại.
Mục lục
Ai đứng sau các chiến dịch này?
Hoạt động này được cho là do nhóm tin tặc Kimsuky thực hiện, còn được biết đến trong cộng đồng an ninh với các tên gọi APT43, Black Banshee, Emerald Sleet, Springtail, TA427 và Velvet Chollima. Cụm tin tặc này được đánh giá là có liên hệ với Cục Tình báo Tổng hợp (RGB) của Triều Tiên.
Kimsuky từ lâu đã nổi tiếng với các hoạt động tấn công lừa đảo có chủ đích tinh vi, đặc biệt là những hoạt động được thiết kế để né tránh hoặc làm suy yếu các biện pháp kiểm soát xác thực email. Vào tháng 5 năm 2024, chính phủ Hoa Kỳ đã công khai báo cáo rằng nhóm này đã lợi dụng các chính sách DMARC yếu hoặc được cấu hình không đúng cách để gửi email giả mạo các tên miền hợp pháp một cách thuyết phục.
Vì sao mã QR khiến các cuộc tấn công này trở nên nguy hiểm đến vậy
Khác với các hình thức lừa đảo truyền thống, các chiêu trò dựa trên mã QR hướng nạn nhân rời khỏi các hệ thống do doanh nghiệp quản lý và chuyển sang sử dụng các thiết bị di động cá nhân hoặc được bảo vệ sơ sài. Sự chuyển hướng này cho phép kẻ tấn công vượt qua các công cụ bảo mật email doanh nghiệp, nền tảng bảo vệ điểm cuối và các biện pháp kiểm soát giám sát mạng.
Sau khi được quét, các mã QR độc hại sẽ dẫn mục tiêu đến cơ sở hạ tầng do kẻ tấn công kiểm soát, nơi chúng có thể thu thập thông tin đăng nhập, cookie phiên hoặc dữ liệu nhạy cảm mà không kích hoạt các cảnh báo tiêu chuẩn của doanh nghiệp.
Các kịch bản tấn công được FBI quan sát vào năm 2025
Cục Điều tra Liên bang Mỹ (FBI) đã báo cáo nhiều chiến dịch nhắm mục tiêu do các thành viên của Kimsuky thực hiện vào tháng 5 và tháng 6 năm 2025, bao gồm:
- Giả danh cố vấn chính sách đối ngoại và yêu cầu lãnh đạo một viện nghiên cứu quét mã QR để truy cập vào bảng câu hỏi về các diễn biến trên bán đảo Triều Tiên.
- Giả danh là nhân viên đại sứ quán đang tìm kiếm ý kiến chuyên gia về nhân quyền ở Triều Tiên, kèm theo mã QR tuyên bố dẫn đến một 'ổ đĩa an toàn'.
- Kẻ tấn công giả danh nhân viên viện nghiên cứu và gửi mã QR dẫn nạn nhân đến cơ sở hạ tầng do chúng kiểm soát để thực hiện các thủ đoạn khai thác tiếp theo.
- Nhắm mục tiêu vào một công ty tư vấn chiến lược bằng các thư mời tham dự hội nghị giả mạo, sử dụng mã QR dẫn đến các trang đăng ký gian lận được thiết kế để đánh cắp thông tin đăng nhập tài khoản Google thông qua các cổng đăng nhập giả mạo.
Những sự việc này xảy ra ngay sau một tiết lộ riêng biệt của các nhà nghiên cứu bảo mật, những người đã phát hiện ra một chiến dịch mã QR do Kimsuky điều hành, phát tán một biến thể phần mềm độc hại Android mới có tên 'DocSwap', thông qua các email lừa đảo giả mạo một công ty hậu cần có trụ sở tại Seoul.
Cách Quishing cho phép xâm nhập vượt qua xác thực đa yếu tố (MFA)
Các cuộc tấn công giả mạo hiện đại thường kết thúc bằng việc đánh cắp và phát lại mã thông báo phiên. Bằng cách chiếm đoạt các mã thông báo xác thực đang hoạt động, kẻ tấn công có thể bỏ qua hoàn toàn xác thực đa yếu tố, chiếm đoạt danh tính trên đám mây mà không gây ra cảnh báo "MFA thất bại" thông thường.
Từ đó, kẻ thù thiết lập sự hiện diện lâu dài trong môi trường của nạn nhân và thường tận dụng hộp thư bị xâm phạm để khởi động các chiến dịch tấn công lừa đảo có chủ đích thứ cấp trong nội bộ doanh nghiệp. Vì sự xâm nhập ban đầu xảy ra trên các thiết bị di động không được quản lý, nằm ngoài phạm vi phủ sóng EDR tiêu chuẩn và ranh giới kiểm tra mạng, nên tấn công lừa đảo qua email (quishing) hiện được coi là một kỹ thuật xâm nhập danh tính có độ tin cậy cao, chống lại xác thực đa yếu tố (MFA) trong môi trường doanh nghiệp.
