Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Phishing Επίθεση με κωδικούς QR με ηλεκτρονικό ψάρεμα Kimsuki

Επίθεση με κωδικούς QR με ηλεκτρονικό ψάρεμα Kimsuki

Μέχρι το Mezo το Phishing, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ εξέδωσε δημόσια συμβουλευτική προειδοποίηση ότι οι βορειοκορεατικοί φορείς απειλών που χρηματοδοτούνται από το κράτος χρησιμοποιούν ενεργά κακόβουλους κωδικούς QR σε στοχευμένες εκστρατείες spear-phishing εναντίον οργανισμών στις Ηνωμένες Πολιτείες. Αυτές οι επιχειρήσεις, που παρατηρήθηκαν καθ' όλη τη διάρκεια του 2025, αντιπροσωπεύουν μια αυξανόμενη στροφή προς την «εξουδετέρωση» — επιθέσεις ηλεκτρονικού «ψαρέματος» (phishing) που βασίζονται σε κωδικούς γρήγορης απόκρισης (QR) για την παράδοση κακόβουλου περιεχομένου.

Ποιος κρύβεται πίσω από τις καμπάνιες;

Η δραστηριότητα αποδίδεται στην ομάδα απειλών Kimsuky, γνωστή και στην κοινότητα ασφαλείας ως APT43, Black Banshee, Emerald Sleet, Springtail, TA427 και Velvet Chollima. Αυτή η ομάδα εκτιμάται ότι συνδέεται με το Γενικό Γραφείο Αναγνώρισης (RGB) της Βόρειας Κορέας.

Η Kimsuky έχει μακροχρόνια φήμη για εξελιγμένες επιχειρήσεις spear-phishing, ιδίως εκείνες που έχουν σχεδιαστεί για να παρακάμπτουν ή να υπονομεύουν τους ελέγχους ελέγχου ταυτότητας email. Τον Μάιο του 2024, η κυβέρνηση των ΗΠΑ ανέφερε δημόσια ότι η ομάδα είχε εκμεταλλευτεί αδύναμες ή ακατάλληλα διαμορφωμένες πολιτικές DMARC για να στείλει email που πλαστοπροσωπούσαν πειστικά νόμιμους τομείς.

Γιατί οι κωδικοί QR κάνουν αυτές τις επιθέσεις τόσο επικίνδυνες

Σε αντίθεση με το παραδοσιακό ηλεκτρονικό ψάρεμα (phishing), τα δολώματα που βασίζονται σε κωδικούς QR απομακρύνουν τα θύματα από εταιρικά συστήματα και τα ωθούν σε προσωπικές ή ελαφρώς προστατευμένες κινητές συσκευές. Αυτή η μετατόπιση επιτρέπει στους εισβολείς να παρακάμπτουν τα εργαλεία ασφάλειας email επιχειρήσεων, τις πλατφόρμες προστασίας τελικών σημείων και τα στοιχεία ελέγχου παρακολούθησης δικτύου.

Μόλις σαρωθούν, οι κακόβουλοι κωδικοί QR κατευθύνουν τους στόχους σε υποδομές που ελέγχονται από εισβολείς, όπου μπορούν να συλλεχθούν διαπιστευτήρια, cookies περιόδου σύνδεσης ή ευαίσθητα δεδομένα χωρίς να ενεργοποιηθούν οι τυπικές εταιρικές ειδοποιήσεις.

Σενάρια επιθέσεων που παρατηρήθηκαν από το FBI το 2025

Το FBI ανέφερε πολλαπλές στοχευμένες εκστρατείες που διεξήχθησαν από ηθοποιούς του Kimsuky τον Μάιο και τον Ιούνιο του 2025, όπως:

  • Μίμηση συμβούλου εξωτερικής πολιτικής και αίτημα σε επικεφαλής δεξαμενής σκέψης να σαρώσει έναν κωδικό QR για πρόσβαση σε ερωτηματολόγιο σχετικά με τις εξελίξεις στην Κορεατική Χερσόνησο
  • Μεταμφιεσμένος σε υπάλληλο πρεσβείας που αναζητά εξειδικευμένη συμβουλή για τα ανθρώπινα δικαιώματα της Βόρειας Κορέας, με έναν κωδικό QR που ισχυρίζεται ότι συνδέεται με έναν «ασφαλή δίσκο»
  • Παριστάνοντας το μέλος του προσωπικού μιας δεξαμενής σκέψης και στέλνοντας κωδικούς QR που ανακατευθύνονταν τα θύματα σε υποδομή που ελέγχεται από εισβολείς για περαιτέρω εκμετάλλευση.
  • Στόχευση εταιρείας στρατηγικής συμβουλευτικής με πλαστές προσκλήσεις σε συνέδρια, χρησιμοποιώντας κωδικούς QR που οδήγησαν σε δόλιες σελίδες εγγραφής που δημιουργήθηκαν για την κλοπή διαπιστευτηρίων λογαριασμού Google μέσω πλαστών πυλών σύνδεσης.

Αυτά τα περιστατικά ακολούθησαν αμέσως μετά από μια ξεχωριστή αποκάλυψη από ερευνητές ασφαλείας, οι οποίοι αποκάλυψαν μια καμπάνια QR που διεξήγαγε ο Kimsuky και διένειμε μια νέα παραλλαγή κακόβουλου λογισμικού Android, το «DocSwap», μέσω email ηλεκτρονικού «ψαρέματος» (phishing) που μιμούνταν μια εταιρεία logistics με έδρα τη Σεούλ.

Πώς η απενεργοποίηση ενεργοποιεί τις εισβολές ανθεκτικές στο MFA

Οι σύγχρονες επιχειρήσεις απόσβεσης συχνά κορυφώνονται με κλοπή διακριτικών συνεδρίας και επανάληψη. Καταγράφοντας ενεργά διακριτικά ελέγχου ταυτότητας, οι εισβολείς μπορούν να παρακάμψουν πλήρως τον έλεγχο ταυτότητας πολλαπλών παραγόντων, αναλαμβάνοντας τον έλεγχο ταυτότητας cloud χωρίς να ενεργοποιήσουν τις συνήθεις προειδοποιήσεις «αποτυχία MFA».

Από εκεί και πέρα, οι επιτιθέμενοι δημιουργούν επιμονή στο περιβάλλον του θύματος και συχνά αξιοποιούν το παραβιασμένο γραμματοκιβώτιο για να ξεκινήσουν δευτερεύουσες καμπάνιες spear-phishing εσωτερικά. Επειδή η αρχική παραβίαση λαμβάνει χώρα σε μη διαχειριζόμενες κινητές συσκευές, εκτός των τυπικών ορίων κάλυψης EDR και επιθεώρησης δικτύου, η απόσβεση θεωρείται πλέον μια τεχνική εισβολής ταυτότητας υψηλής αξιοπιστίας, ανθεκτική στο MFA, σε εταιρικά περιβάλλοντα.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
29,081
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...