FBI cho biết Kimsuky APT, một nhóm tin tặc được Triều Tiên hậu thuẫn, đang sử dụng mã QR độc hại để xâm nhập vào các tổ chức Mỹ liên quan đến chính sách về Triều Tiên.
Cảnh báo được đưa ra trong bản FBI FLASH năm 2025 chia sẻ với các tổ chức phi chính phủ, viện nghiên cứu, trường đại học và các nhóm có liên hệ với chính phủ. Cơ quan này cho biết các mục tiêu đều có chung một điểm. Họ nghiên cứu, tư vấn hoặc làm việc xoay quanh Triều Tiên.
Theo FBI, Kimsuky APT đang tiến hành các chiến dịch lừa đảo qua Email nhắm mục tiêu dựa trên mã QR thay vì liên kết, một phương pháp được gọi là Quishing.
Các mã QR ẩn chứa URL có hại, và nạn nhân hầu như luôn quét chúng bằng điện thoại, không phải máy tính làm việc. Sự thay đổi đó cho phép kẻ tấn công lọt qua các bộ lọc Email, công cụ quét liên kết và công cụ sandbox thường phát hiện lừa đảo.
Kimsuky APT gửi Email dựa trên mã QR đến các mục tiêu chính sách và nghiên cứu
FBI cho biết Kimsuky APT đã sử dụng nhiều Email theo chủ đề trong năm 2025. Mỗi Email đều phù hợp với công việc và sở thích của mục tiêu. Vào tháng 5, kẻ tấn công giả danh cố vấn ngoại giao. Họ gửi Email cho người đứng đầu viện nghiên cứu hỏi quan điểm về các sự kiện gần đây trên Bán đảo Triều Tiên. Email có chứa mã QR được cho là mở bảng câu hỏi.
Cuối tháng 5, nhóm này giả danh nhân viên đại sứ quán. Email đó được gửi cho một nghiên cứu viên cấp cao tại một viện nghiên cứu. Email yêu cầu ý kiến về nhân quyền Triều Tiên. Mã QR được cho là mở khóa ổ đĩa bảo mật. Cùng tháng đó, một Email khác giả mạo đến từ nhân viên viện nghiên cứu. Quét mã QR của nó đã đưa nạn nhân đến cơ sở hạ tầng Kimsuky APT được xây dựng cho hoạt động độc hại.
Vào tháng 6 năm 2025, FBI cho biết nhóm này nhắm vào một công ty tư vấn chiến lược. Email mời nhân viên tham dự một hội nghị không tồn tại. Mã QR đưa người dùng đến trang đăng ký. Nút đăng ký sau đó đẩy khách truy cập đến trang đăng nhập Google giả mạo. Trang đó thu thập tên người dùng và mật khẩu. FBI liên kết bước này với hoạt động thu thập thông tin đăng nhập được theo dõi là T1056.003.
Quét mã QR dẫn đến đánh cắp token và chiếm quyền tài khoản
FBI cho biết nhiều cuộc tấn công này kết thúc bằng đánh cắp và phát lại token phiên. Điều này cho phép kẻ tấn công bỏ qua xác thực đa yếu tố mà không kích hoạt cảnh báo. Tài khoản bị chiếm quyền một cách lặng lẽ. Sau đó, kẻ tấn công thay đổi cài đặt, thêm quyền truy cập và giữ quyền kiểm soát. FBI cho biết các hộp thư bị xâm nhập sau đó được sử dụng để gửi thêm Email lừa đảo nhắm mục tiêu bên trong cùng tổ chức.
FBI lưu ý rằng các cuộc tấn công này bắt đầu trên điện thoại cá nhân. Điều đó đặt chúng ra ngoài các công cụ phát hiện điểm cuối thông thường và giám sát mạng. Do đó, FBI cho biết:-
FBI kêu gọi các tổ chức giảm rủi ro. Cơ quan này cho biết nhân viên nên được cảnh báo về việc quét các mã QR ngẫu nhiên từ Email, thư hoặc tờ rơi. Đào tạo nên bao gồm tính cấp bách giả mạo và mạo danh. Nhân viên nên xác minh các yêu cầu mã QR thông qua liên hệ trực tiếp trước khi đăng nhập hoặc tải xuống tệp. Quy tắc báo cáo rõ ràng nên được áp dụng.
FBI cũng khuyến nghị sử dụng:- "MFA chống lừa đảo cho tất cả quyền truy cập từ xa và hệ thống nhạy cảm," và "xem xét đặc quyền truy cập theo nguyên tắc đặc quyền tối thiểu và thường xuyên kiểm toán các quyền tài khoản không sử dụng hoặc quá mức."
Những người am hiểu tiền mã hoá thông minh nhất đã đọc bản tin của chúng tôi. Muốn tham gia? Hãy gia nhập họ.
Nguồn: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
