Napad Kimsuki phishing QR kodovima
Američki Federalni istražni ured (FBI) izdao je javno upozorenje da sjevernokorejski državni akteri prijetnji aktivno koriste zlonamjerne QR kodove u visoko ciljanim spear-phishing kampanjama protiv organizacija u Sjedinjenim Državama. Ove operacije, uočene tijekom 2025. godine, predstavljaju sve veći pomak prema 'quishingu' - phishing napadima koji se oslanjaju na QR (Quick Response) kodove za isporuku zlonamjernog sadržaja.
Sadržaj
Tko stoji iza kampanja?
Aktivnost se pripisuje skupini prijetnji Kimsuky, poznatoj u sigurnosnoj zajednici i kao APT43, Black Banshee, Emerald Sleet, Springtail, TA427 i Velvet Chollima. Procjenjuje se da je ovaj klaster povezan sa sjevernokorejskim Glavnim izviđačkim uredom (RGB).
Kimsuky ima dugogodišnju reputaciju sofisticiranih operacija krađe identiteta putem interneta (spear-phishing), posebno onih osmišljenih za izbjegavanje ili potkopavanje kontrola autentifikacije e-pošte. U svibnju 2024. američka vlada javno je izvijestila da je grupa iskoristila slabe ili nepravilno konfigurirane DMARC politike za slanje e-poruka koje su se uvjerljivo predstavljale kao legitimne domene.
Zašto QR kodovi čine ove napade tako opasnima
Za razliku od tradicionalnog phishinga, QR-ovi kao mamci odvlače žrtve od sustava kojima upravljaju tvrtke na osobne ili slabo zaštićene mobilne uređaje. Ova promjena omogućuje napadačima da zaobiđu alate za sigurnost e-pošte u poduzećima, platforme za zaštitu krajnjih točaka i kontrole za nadzor mreže.
Nakon skeniranja, zlonamjerni QR kodovi usmjeravaju mete prema infrastrukturi koju kontrolira napadač, gdje se mogu prikupiti vjerodajnice, kolačići sesije ili osjetljivi podaci bez aktiviranja standardnih poslovnih upozorenja.
Scenariji napada koje je FBI primijetio u 2025. godini
FBI je izvijestio o više ciljanih kampanja koje su proveli akteri Kimsukyja u svibnju i lipnju 2025., uključujući:
- Predstavljanje kao savjetnik za vanjsku politiku i traženje od čelnika think tanka da skenira QR kod kako bi pristupio upitniku o događajima na Korejskom poluotoku
- Predstavljajući se kao zaposlenik veleposlanstva koji traži stručno mišljenje o ljudskim pravima u Sjevernoj Koreji, s QR kodom koji tvrdi da vodi do 'sigurne diskovne jedinice'
- Predstavljajući se kao član osoblja think tanka i šaljući QR kodove koji su preusmjeravali žrtve na infrastrukturu koju kontroliraju napadači radi daljnjeg iskorištavanja.
- Ciljanje strateške savjetodavne tvrtke lažnim pozivnicama za konferencije, korištenje QR kodova koji su vodili do lažnih registracijskih stranica izrađenih za krađu vjerodajnica za Google račun putem krivotvorenih portala za prijavu
Ovi incidenti uslijedili su odmah nakon zasebnog otkrića sigurnosnih istraživača koji su otkrili QR kampanju koju vodi Kimsuky, a koja je distribuirala novu varijantu zlonamjernog softvera za Android, 'DocSwap', putem phishing e-poruka koje su imitirale logističku tvrtku sa sjedištem u Seulu.
Kako gušenje omogućuje upade otporne na MFA
Moderne operacije skrivanja autentifikacije često kulminiraju krađom i ponovnim izvođenjem tokena sesije. Hvatanjem aktivnih tokena za autentifikaciju, napadači mogu u potpunosti zaobići višefaktorsku autentifikaciju, preuzimajući identitete u oblaku bez pokretanja uobičajenih upozorenja 'MFA nije uspio'.
Odatle, protivnici uspostavljaju postojanost unutar okruženja žrtve i često iskorištavaju kompromitirani poštanski sandučić za pokretanje sekundarnih spear-phishing kampanja interno. Budući da se početno kompromitiranje događa na neupravljanim mobilnim uređajima, izvan standardne EDR pokrivenosti i granica inspekcije mreže, quishing se sada smatra visoko pouzdanom tehnikom upada u identitet otpornom na MFA unutar poslovnih okruženja.
