מתקפת פישינג באמצעות קודי QR של קימסוקי

הלשכה הפדרלית לחקירות אמריקאיות פרסמה אזהרה פומבית לפיה גורמי איום בחסות המדינה של צפון קוריאה משתמשים באופן פעיל בקודי QR זדוניים בקמפיינים ממוקדים של פישינג נגד ארגונים בארצות הברית. פעולות אלו, שנצפו לאורך שנת 2025, מייצגות שינוי הולך וגובר לכיוון "quishing" - התקפות פישינג המסתמכות על קודי תגובה מהירה (QR) כדי לספק תוכן זדוני.

מי עומד מאחורי הקמפיינים?

הפעילות מיוחסת לקבוצת האיומים קימסוקי, הידועה גם בקהילת הביטחון כ-APT43, Black Banshee, Emerald Sleet, Springtail, TA427 ו-Velvet Chollima. ההערכה היא כי אשכול זה קשור ללשכת הסיור הכללית של צפון קוריאה (RGB).

לקימסוקי מוניטין ארוך שנים של פעולות פישינג מתוחכמות, במיוחד כאלה שנועדו להתחמק או לערער בקרות אימות דוא"ל. במאי 2024, ממשלת ארה"ב דיווחה בפומבי כי הקבוצה ניצלה מדיניות DMARC חלשה או שלא הוגדרו כראוי כדי לשלוח מיילים שהתחזו באופן משכנע לדומיינים לגיטימיים.

מדוע קודי QR הופכים את ההתקפות הללו למסוכנות כל כך

בניגוד לפישינג מסורתי, פיתיונות מבוססי QR דוחפים קורבנות הרחק ממערכות ארגוניות ועוברים למכשירים ניידים אישיים או עם הגנה קלה. שינוי זה מאפשר לתוקפים לעקוף כלי אבטחת דוא"ל ארגוניים, פלטפורמות הגנה על נקודות קצה ובקרות ניטור רשת.

לאחר הסריקה, קודי ה-QR הזדוניים מכונים מטרות לתשתית הנשלטת על ידי התוקף, שם ניתן לאסוף אישורים, קובצי Cookie של סשן או נתונים רגישים מבלי להפעיל התראות ארגוניות סטנדרטיות.

תרחישי תקיפה שנצפו על ידי ה-FBI בשנת 2025

ה-FBI דיווח על מספר קמפיינים ממוקדים שבוצעו על ידי שחקני קימסוקי במאי וביוני 2025, כולל:

• התחזות ליועץ מדיניות חוץ ובקשה ממנהיג מכון מחקר לסרוק קוד QR כדי לגשת לשאלון על ההתפתחויות בחצי האי הקוריאני.
• מתחזה לעובד שגרירות המבקש משוב מומחה בנושא זכויות אדם בצפון קוריאה, עם קוד QR הטוען שהוא מקושר ל"כונן מאובטח"
• התחזות לחבר צוות של מכון מחקר ושליחת קודי QR שהפנו את הקורבנות לתשתית הנשלטת על ידי התוקף לצורך ניצול נוסף
• מיקוד בחברת ייעוץ אסטרטגי באמצעות הזמנות מזויפות לכנסים, תוך שימוש בקודי QR שהובילו לדפי רישום הונאה שנבנו כדי לגנוב פרטי כניסה לחשבון גוגל באמצעות פורטלי כניסה מזויפים.

אירועים אלה באו מיד לאחר גילוי נפרד של חוקרי אבטחה, שחשפו קמפיין QR המנוהל על ידי קימסוקי והפיץ גרסה חדשה של תוכנה זדונית לאנדרואיד, 'DocSwap', באמצעות מיילי פישינג המחקים חברת לוגיסטיקה שבסיסה בסיאול.

כיצד Quishing מאפשר חדירות עמידות בפני MFA

פעולות quishing מודרניות מגיעות לעיתים קרובות לשיאן בגניבת אסימוני סשן והפעלה חוזרת. על ידי לכידת אסימוני אימות פעילים, תוקפים יכולים לעקוף לחלוטין את האימות הרב-גורמי, ולהשתלט על זהויות ענן מבלי להפעיל את אזהרות ה-'MFA failed' הרגילות.

משם, יריבים מקימים עמידות בסביבת הקורבן ולעתים קרובות מנצלים את תיבת הדואר שנפגעה כדי להפעיל קמפיינים משניים של "פישינג ספיר" באופן פנימי. מכיוון שהפריצה הראשונית מתרחשת במכשירים ניידים לא מנוהלים, מחוץ לכיסוי EDR סטנדרטי ולגבולות בדיקת הרשת, "פישינג קשוח" נחשב כיום לטכניקת חדירה לזהות בעלת ביטחון גבוה ועמידה בפני MFA בסביבות ארגוניות.