किम्सुकी फ़िशिंग क्यूआर कोड हमला
अमेरिकी संघीय जांच ब्यूरो ने एक सार्वजनिक चेतावनी जारी की है कि उत्तर कोरियाई सरकार द्वारा प्रायोजित आतंकवादी संगठन अमेरिका में संगठनों के खिलाफ लक्षित स्पीयर-फिशिंग अभियानों में दुर्भावनापूर्ण क्यूआर कोड का सक्रिय रूप से उपयोग कर रहे हैं। 2025 के दौरान देखी गई ये गतिविधियां 'क्विशिंग' की ओर बढ़ते रुझान को दर्शाती हैं - ये फिशिंग हमले क्विक रिस्पांस (क्यूआर) कोड पर निर्भर करते हैं और दुर्भावनापूर्ण सामग्री पहुंचाते हैं।
विषयसूची
इन अभियानों के पीछे कौन है?
इस गतिविधि का श्रेय किम्सुकी नामक खतरे समूह को दिया जाता है, जिसे सुरक्षा जगत में APT43, ब्लैक बंशी, एमराल्ड स्लीट, स्प्रिंगटेल, TA427 और वेलवेट चोलिमा के नाम से भी जाना जाता है। माना जाता है कि यह समूह उत्तर कोरिया के टोही महाअधिकारी ब्यूरो (RGB) से जुड़ा हुआ है।
किम्सुकी समूह लंबे समय से परिष्कृत स्पीयर-फ़िशिंग अभियानों के लिए कुख्यात है, विशेष रूप से वे जो ईमेल प्रमाणीकरण नियंत्रणों से बचने या उन्हें कमजोर करने के लिए डिज़ाइन किए गए हैं। मई 2024 में, अमेरिकी सरकार ने सार्वजनिक रूप से बताया कि इस समूह ने कमजोर या गलत तरीके से कॉन्फ़िगर की गई DMARC नीतियों का फायदा उठाकर ऐसे ईमेल भेजे थे जो वैध डोमेन का हूबहू प्रतिरूपण करते थे।
क्यूआर कोड इन हमलों को इतना खतरनाक क्यों बनाते हैं?
परंपरागत फ़िशिंग के विपरीत, क्यूआर-आधारित प्रलोभन पीड़ितों को कंपनी द्वारा प्रबंधित प्रणालियों से दूर ले जाकर व्यक्तिगत या कम सुरक्षित मोबाइल उपकरणों की ओर ले जाते हैं। यह बदलाव हमलावरों को एंटरप्राइज़ ईमेल सुरक्षा उपकरणों, एंडपॉइंट सुरक्षा प्लेटफार्मों और नेटवर्क निगरानी नियंत्रणों को दरकिनार करने की अनुमति देता है।
एक बार स्कैन हो जाने पर, दुर्भावनापूर्ण क्यूआर कोड लक्षित व्यक्तियों को हमलावर द्वारा नियंत्रित बुनियादी ढांचे की ओर निर्देशित करते हैं, जहां मानक उद्यम अलर्ट को सक्रिय किए बिना क्रेडेंशियल, सत्र कुकीज़ या संवेदनशील डेटा एकत्र किया जा सकता है।
एफबीआई द्वारा 2025 में देखे गए हमले के परिदृश्य
एफबीआई ने मई और जून 2025 में किमसुकी गिरोह के सदस्यों द्वारा चलाए गए कई लक्षित अभियानों की रिपोर्ट दी, जिनमें शामिल हैं:
- विदेश नीति सलाहकार होने का नाटक करना और एक थिंक टैंक के नेता से कोरियाई प्रायद्वीप पर हो रहे घटनाक्रमों से संबंधित प्रश्नावली तक पहुंचने के लिए क्यूआर कोड स्कैन करने को कहना।
- उत्तर कोरिया में मानवाधिकारों पर विशेषज्ञ की राय लेने के लिए दूतावास के कर्मचारी के रूप में भेष बदलकर, एक क्यूआर कोड का उपयोग किया जा रहा है जो 'सुरक्षित ड्राइव' से लिंक होने का दावा करता है।
- किसी थिंक टैंक के कर्मचारी के रूप में खुद को प्रस्तुत करके और पीड़ितों को हमलावर द्वारा नियंत्रित बुनियादी ढांचे पर पुनर्निर्देशित करने वाले क्यूआर कोड भेजकर उनका आगे शोषण किया जाता था।
- एक रणनीतिक सलाहकार फर्म को फर्जी सम्मेलन निमंत्रण भेजकर निशाना बनाना, फर्जी पंजीकरण पृष्ठों पर ले जाने वाले क्यूआर कोड का उपयोग करना, जिनका उद्देश्य नकली लॉगिन पोर्टल के माध्यम से Google खाता क्रेडेंशियल चुराना था।
ये घटनाएं सुरक्षा शोधकर्ताओं द्वारा किए गए एक अलग खुलासे के तुरंत बाद हुईं, जिसमें किमसुकी द्वारा संचालित एक क्यूआर अभियान का पता चला, जो सियोल स्थित एक लॉजिस्टिक्स कंपनी की नकल करने वाले फ़िशिंग ईमेल के माध्यम से 'डॉकस्वैप' नामक एक नए एंड्रॉइड मैलवेयर वेरिएंट को वितरित कर रहा था।
क्विशिंग किस प्रकार MFA-प्रतिरोधी घुसपैठ को सक्षम बनाता है
आधुनिक क्विशिंग ऑपरेशन अक्सर सेशन टोकन की चोरी और रीप्ले में परिणत होते हैं। सक्रिय प्रमाणीकरण टोकन को कैप्चर करके, हमलावर मल्टी-फैक्टर प्रमाणीकरण को पूरी तरह से बायपास कर सकते हैं और सामान्य 'एमएफए विफल' चेतावनियों को ट्रिगर किए बिना क्लाउड पहचान पर कब्ज़ा कर सकते हैं।
वहां से, हमलावर पीड़ित के नेटवर्क में अपनी पकड़ मजबूत कर लेते हैं और अक्सर प्रभावित मेलबॉक्स का फायदा उठाकर आंतरिक रूप से सेकेंडरी स्पीयर-फिशिंग अभियान चलाते हैं। चूंकि शुरुआती हमला अनमैनेज्ड मोबाइल डिवाइसों पर होता है, जो स्टैंडर्ड EDR कवरेज और नेटवर्क निरीक्षण सीमाओं से बाहर होते हैं, इसलिए क्विशिंग को अब एंटरप्राइज वातावरण में एक उच्च-विश्वसनीय, MFA-प्रतिरोधी पहचान घुसपैठ तकनीक माना जाता है।
