【安全资讯】朝鲜黑客组织Kimsuky利用QR码钓鱼窃取凭证，FBI发布安全警告

概要：

在网络安全威胁不断演变的背景下，朝鲜政府支持的黑客组织正采用一种新颖且隐蔽的攻击手段。美国联邦调查局（FBI）近日发布警告，揭露了与朝鲜有关的Kimsuky组织如何将日常可见的QR码武器化，用于实施针对特定目标的钓鱼攻击，以窃取云登录凭证，这对依赖传统安全防御的企业和机构构成了严峻挑战。

主要内容：

FBI在本周发布的公告中指出，Kimsuky组织在2025年持续发起钓鱼活动，其核心手法被称为“Quishing”。攻击者将恶意URL嵌入QR码中，并通过精心伪造的鱼叉式钓鱼邮件发送给目标。这些邮件内容通常伪装成活动邀请或政策评论请求，看似无害，极具欺骗性。

当目标用户使用手机等安全管理视野外的设备扫描这些QR码后，会被重定向到攻击者仿冒的Microsoft 365、Okta或VPN门户登录页面。用户在此类页面上输入的凭证和会话令牌会被悄无声息地窃取。攻击者随后利用这些信息绕过多因素身份验证，潜入受害者网络。

此次攻击之所以危险，在于它能有效规避常规安全防护。URL重写、沙箱分析和邮件过滤等安全工具无法检测图形化的QR码内容。一旦受害者在非受管设备上完成扫描，安全团队往往难以及时察觉，造成严重后果。攻击目标主要聚焦于与朝鲜政策、外交事务及国家安全相关的智库、学术机构以及美国和外国政府组织。

安全公司Genians的研究还揭示了朝鲜黑客活动的关联性，例如另一个长期活跃的KONNI组织曾滥用谷歌“查找我的设备”功能远程清除被入侵安卓手机的数据。这凸显了攻击者利用日常可信工具进行攻击的趋势，安全防御需要更加关注这类“信任滥用”攻击向量。