Kimsuki 釣魚二維碼攻擊
美國聯邦調查局發佈公開警告,北韓國家支持的網路威脅行為者正積極利用惡意二維碼,針對美國境內的組織機構發動高針對性的魚叉式網路釣魚攻擊。這些攻擊活動預計將持續到2025年,標誌著網路釣魚攻擊正日益轉向「快速回應(QR)碼釣魚」——即利用二維碼傳播惡意內容的網路釣魚攻擊。
目錄
誰在背後操縱這些活動?
這項活動被認為是由Kimsuky威脅組織所為,該組織在安全界也被稱為APT43、Black Banshee、Emerald Sleet、Springtail、TA427和Velvet Chollima。據評估,該組織與北韓偵察總局(RGB)有關聯。
Kimsuky長期以來以高明的魚叉式網路釣魚攻擊手段而臭名昭著,尤其擅長規避或破壞電子郵件身份驗證控制。 2024年5月,美國政府公開報告稱,該組織利用DMARC策略的漏洞或配置不當,發送了能夠以假亂真的、冒充合法網域的電子郵件。
為什麼二維碼會讓這些攻擊如此危險
與傳統網路釣魚不同,基於二維碼的誘餌會將受害者從企業管理系統引向個人設備或防護薄弱的行動裝置。這種轉變使得攻擊者能夠繞過企業電子郵件安全工具、終端保護平台和網路監控控制。
一旦掃描,惡意二維碼會將目標引導至攻擊者控制的基礎設施,在那裡可以竊取憑證、會話 cookie 或敏感數據,而不會觸發標準的企業警報。
FBI 觀察到的 2025 年襲擊場景
FBI報告稱,Kimsuky的演員在2025年5月和6月進行了多起有針對性的攻擊活動,包括:
- 冒充外交政策顧問,請智庫負責人掃描二維碼以填寫有關朝鮮半島局勢發展的問卷。
- 有人冒充大使館工作人員,尋求有關北韓人權問題的專家意見,並附帶一個聲稱連結到「安全網盤」的二維碼。
- 攻擊者冒充智庫工作人員,發送二維碼,將受害者重新導向到攻擊者控制的基礎設施,以便進行後續攻擊。
- 攻擊者以虛假會議邀請函為目標,利用二維碼引導使用者進入詐騙註冊頁面,透過偽造的登入入口網站竊取Google帳號憑證。
這些事件緊接著安全研究人員的另一項揭露之後發生。安全研究人員發現,Kimsuky 營運的二維碼活動透過模仿首爾一家物流公司的網路釣魚電子郵件,傳播一種名為「DocSwap」的新型 Android 惡意軟體變種。
靜默攻擊如何實現無視多因素身份驗證的入侵
現代網路釣魚攻擊通常以竊取會話令牌並重播攻擊為最終目標。攻擊者透過捕捉有效的身份驗證令牌,可以完全繞過多因素身份驗證,接管雲端身份,而不會觸發通常的「MFA失敗」警告。
攻擊者由此在受害者環境中建立持久化防禦,並經常利用被攻破的郵箱在內部發動二次魚叉式網路釣魚攻擊。由於初始入侵發生在未經管理的行動裝置上,超出了標準的EDR覆蓋範圍和網路偵測邊界,因此,網路釣魚攻擊現在被認為是企業環境中一種高可信度、能夠抵禦多因素身份驗證(MFA)的身份入侵技術。
