Kimsuki 钓鱼二维码攻击
美国联邦调查局发布公开警告,朝鲜国家支持的网络威胁行为者正积极利用恶意二维码,针对美国境内的组织机构发起高针对性的鱼叉式网络钓鱼攻击。这些攻击活动预计将持续到2025年,标志着网络钓鱼攻击正日益转向“快速响应(QR)码钓鱼”——即利用二维码传播恶意内容的网络钓鱼攻击。
目录
谁在幕后操纵这些活动?
此次活动被认为是由Kimsuky威胁组织所为,该组织在安全界也被称为APT43、Black Banshee、Emerald Sleet、Springtail、TA427和Velvet Chollima。据评估,该组织与朝鲜侦察总局(RGB)有关联。
Kimsuky长期以来以高明的鱼叉式网络钓鱼攻击手段而臭名昭著,尤其擅长规避或破坏电子邮件身份验证控制。2024年5月,美国政府公开报告称,该组织利用DMARC策略的漏洞或配置不当,发送了能够以假乱真的、冒充合法域名的电子邮件。
为什么二维码使这些攻击如此危险
与传统网络钓鱼不同,基于二维码的诱饵会将受害者从企业管理系统引向个人设备或防护薄弱的移动设备。这种转变使得攻击者能够绕过企业电子邮件安全工具、终端保护平台和网络监控控制。
一旦扫描,恶意二维码会将目标引导至攻击者控制的基础设施,在那里可以窃取凭据、会话 cookie 或敏感数据,而不会触发标准的企业警报。
FBI 观察到的 2025 年袭击场景
FBI报告称,Kimsuky的演员在2025年5月和6月进行了多起有针对性的攻击活动,其中包括:
- 冒充外交政策顾问,要求智库负责人扫描二维码以填写有关朝鲜半岛局势发展的问卷。
- 有人冒充大使馆工作人员,寻求有关朝鲜人权问题的专家意见,并附带一个声称链接到“安全网盘”的二维码。
- 攻击者冒充智库工作人员,发送二维码,将受害者重定向到攻击者控制的基础设施,以便进行后续攻击。
- 攻击者以虚假会议邀请函为目标,利用二维码引导用户进入欺诈性注册页面,通过伪造的登录门户窃取谷歌账户凭证。
这些事件紧随安全研究人员的另一项披露之后发生。安全研究人员发现,Kimsuky 运营的二维码活动通过模仿首尔一家物流公司的网络钓鱼电子邮件传播一种新的 Android 恶意软件变种“DocSwap”。
静默攻击如何实现无视多因素身份验证的入侵
现代网络钓鱼攻击通常以窃取会话令牌并重放攻击为最终目标。攻击者通过捕获有效的身份验证令牌,可以完全绕过多因素身份验证,接管云端身份,而不会触发通常的“MFA失败”警告。
攻击者由此在受害者环境中建立持久化防御,并经常利用被攻破的邮箱在内部发起二次鱼叉式网络钓鱼攻击。由于初始入侵发生在未经管理的移动设备上,超出了标准的EDR覆盖范围和网络检测边界,因此,网络钓鱼攻击现在被认为是企业环境中一种高可信度、能够抵御多因素身份验证(MFA)的身份入侵技术。
