حمله فیشینگ با کدهای QR در کیمسوکی

اداره تحقیقات فدرال ایالات متحده (FBI) هشدار عمومی صادر کرده است مبنی بر اینکه عوامل تهدید تحت حمایت دولت کره شمالی به طور فعال از کدهای QR مخرب در کمپین‌های فیشینگ هدفمند علیه سازمان‌های ایالات متحده استفاده می‌کنند. این عملیات که در طول سال 2025 مشاهده شده است، نشان دهنده تغییر رو به رشد به سمت حملات فیشینگ «quishing» است که برای ارائه محتوای مخرب به کدهای پاسخ سریع (QR) متکی هستند.

چه کسی پشت کمپین‌ها است؟

این فعالیت به گروه تهدید کیمسوکی نسبت داده می‌شود که در جامعه امنیتی با نام‌های APT43، Black Banshee، Emerald Sleet، Springtail، TA427 و Velvet Chollima نیز شناخته می‌شود. ارزیابی می‌شود که این خوشه با اداره کل شناسایی کره شمالی (RGB) مرتبط است.

کیمسوکی سابقه طولانی در عملیات پیچیده فیشینگ هدفمند، به ویژه آن‌هایی که برای فرار یا تضعیف کنترل‌های احراز هویت ایمیل طراحی شده‌اند، دارد. در ماه مه ۲۰۲۴، دولت ایالات متحده علناً گزارش داد که این گروه از سیاست‌های DMARC ضعیف یا با پیکربندی نادرست برای ارسال ایمیل‌هایی که به طور متقاعدکننده‌ای دامنه‌های قانونی را جعل هویت می‌کردند، سوءاستفاده کرده است.

چرا کدهای QR این حملات را بسیار خطرناک می‌کنند؟

برخلاف فیشینگ سنتی، فریب‌های مبتنی بر QR قربانیان را از سیستم‌های تحت مدیریت شرکت دور کرده و به سمت دستگاه‌های تلفن همراه شخصی یا دستگاه‌های تلفن همراه با محافظت کم سوق می‌دهند. این تغییر به مهاجمان اجازه می‌دهد تا ابزارهای امنیتی ایمیل سازمانی، پلتفرم‌های محافظت از نقاط پایانی و کنترل‌های نظارت بر شبکه را دور بزنند.

پس از اسکن، کدهای QR مخرب، اهداف را به سمت زیرساخت‌های تحت کنترل مهاجم هدایت می‌کنند، جایی که می‌توان بدون ایجاد هشدارهای استاندارد سازمانی، اعتبارنامه‌ها، کوکی‌های جلسه یا داده‌های حساس را جمع‌آوری کرد.

سناریوهای حمله مشاهده شده توسط اف‌بی‌آی در سال ۲۰۲۵

اف‌بی‌آی چندین کمپین هدفمند انجام شده توسط عوامل کیمسوکی را در ماه مه و ژوئن ۲۰۲۵ گزارش داد، از جمله:

• جعل هویت یک مشاور سیاست خارجی و درخواست از یک رهبر اندیشکده برای اسکن کد QR برای دسترسی به پرسشنامه‌ای در مورد تحولات شبه جزیره کره
• خود را به عنوان کارمند سفارت جا زده و به دنبال نظرات تخصصی در مورد حقوق بشر کره شمالی است، با یک کد QR که ادعا می‌کند به یک «درایو امن» متصل است
• خود را به عنوان یکی از اعضای اندیشکده جا می‌زد و کدهای QR ارسال می‌کرد که قربانیان را برای سوءاستفاده‌های بعدی به زیرساخت‌های تحت کنترل مهاجم هدایت می‌کرد.
• هدف قرار دادن یک شرکت مشاوره استراتژیک با دعوت‌نامه‌های جعلی کنفرانس، با استفاده از کدهای QR که منجر به صفحات ثبت‌نام جعلی ساخته شده برای سرقت اعتبارنامه‌های حساب گوگل از طریق پورتال‌های ورود جعلی می‌شد.

این حوادث بلافاصله پس از افشاگری جداگانه‌ای توسط محققان امنیتی رخ داد که در آن یک کمپین QR تحت مدیریت کیمسوکی کشف شد که از طریق ایمیل‌های فیشینگ، یک نوع بدافزار اندرویدی جدید به نام «DocSwap» را از طریق ایمیل‌های فیشینگ با تقلید از یک شرکت لجستیکی مستقر در سئول توزیع می‌کرد.

چگونه Quishing نفوذهای مقاوم در برابر MFA را ممکن می‌سازد

عملیات‌های مدرنِ quishing اغلب به سرقت توکن‌های نشست و بازپخش آنها منجر می‌شوند. با گرفتن توکن‌های احراز هویت فعال، مهاجمان می‌توانند احراز هویت چند عاملی را به طور کامل دور بزنند و بدون ایجاد هشدارهای معمول «MFA failed»، هویت‌های ابری را به دست بگیرند.

از آنجا، مهاجمان در محیط قربانی ماندگاری ایجاد می‌کنند و اغلب از صندوق پستی آسیب‌دیده برای راه‌اندازی کمپین‌های فیشینگ هدف‌دار ثانویه در داخل سازمان استفاده می‌کنند. از آنجا که نفوذ اولیه در دستگاه‌های تلفن همراه مدیریت نشده، خارج از پوشش استاندارد EDR و مرزهای بازرسی شبکه رخ می‌دهد، quishing اکنون به عنوان یک تکنیک نفوذ هویت مقاوم در برابر MFA با اطمینان بالا در محیط‌های سازمانی در نظر گرفته می‌شود.