【安全资讯】FBI警告：朝鲜黑客组织Kimsuky利用二维码对美国机构进行鱼叉式网络钓鱼

概要：

在数字威胁日益复杂的背景下，美国联邦调查局（FBI）发布紧急警报，揭露了朝鲜国家支持的黑客组织Kimsuky（APT43）正在使用恶意二维码对美国机构进行鱼叉式网络钓鱼攻击。这种被称为“Quishing”的攻击手法，通过诱导受害者扫描二维码，成功绕过了传统电子邮件安全防护，直接威胁到涉及朝鲜政策研究、智库、学术及政府实体的敏感信息安全，凸显了移动设备和非受管端点带来的新型身份入侵风险。

主要内容：

FBI指出，Kimsuky组织在2025年的攻击活动中，通过发送包含恶意二维码的钓鱼邮件来锁定目标。攻击者伪装成外国投资者、使馆员工、智库成员或会议组织者，诱使收件人扫描二维码。二维码会将受害者重定向至攻击者控制的服务器，该服务器首先会收集设备的指纹信息，包括用户代理、操作系统、IP地址、屏幕尺寸和本地语言设置。

随后，受害者会被引导至仿冒的微软365、Okta、VPN门户或谷歌登录页面。攻击的最终目的是窃取用户的登录凭证或会话令牌。FBI强调，此类“Quishing”攻击通常以窃取会话令牌并重放攻击告终，这使得攻击者能够绕过多因素身份验证（MFA），劫持云身份，且不会触发常规的“MFA失败”警报。

这种攻击之所以有效，是因为它迫使目标使用其移动设备扫描二维码，从而避开了基于传统电子邮件网关的安全检测。攻击邮件甚至可以从已被入侵的邮箱账户发出，增加了可信度。FBI将此称为“抗MFA的身份入侵向量”，因为攻击源自企业标准终端检测与响应（EDR）及网络监控范围之外的非受管移动设备。

为应对此类威胁，FBI建议机构加强对员工的针对性培训，实施二维码来源验证流程，部署移动设备管理（MDM）方案，并严格执行多因素认证。同时，遭遇攻击的目标应立即向当地FBI网络小组或IC3门户报告。