Kimsuki adathalász QR-kód támadás
Az Egyesült Államok Szövetségi Nyomozó Irodája (FBI) nyilvános figyelmeztetést adott ki, miszerint az észak-koreai állam által támogatott fenyegető szereplők aktívan használnak rosszindulatú QR-kódokat célzott adathalász kampányokban az Egyesült Államokban működő szervezetek ellen. Ezek a 2025 folyamán megfigyelt műveletek egyre növekvő elmozdulást jelentenek a „quishing” – azaz a gyorsreagálású (QR) kódokra támaszkodó adathalász támadások – felé, amelyek rosszindulatú tartalmak közvetítésére szolgálnak.
Tartalomjegyzék
Ki áll a kampányok mögött?
A tevékenységet a Kimsuky fenyegetéscsoportnak tulajdonítják, amelyet a biztonsági közösség APT43, Black Banshee, Emerald Sleet, Springtail, TA427 és Velvet Chollima néven is ismer. A csoportosulás feltehetően az észak-koreai Felderítő Általános Hivatalhoz (RGB) kapcsolódik.
A Kimsuky régóta híres kifinomult, célzott adathalász műveletekről, különösen azokról, amelyeket az e-mail-hitelesítési ellenőrzések megkerülésére vagy aláásására terveztek. 2024 májusában az Egyesült Államok kormánya nyilvánosan arról számolt be, hogy a csoport gyenge vagy nem megfelelően konfigurált DMARC-szabályzatokat kihasználva küldött olyan e-maileket, amelyek meggyőzően legitim domaineket utánoztak.
Miért teszik a QR-kódok ezeket a támadásokat olyan veszélyessé?
A hagyományos adathalászattal ellentétben a QR-kód alapú csalik a vállalati rendszerektől távol, személyes vagy kevésbé védett mobileszközökre terelik az áldozatokat. Ez a váltás lehetővé teszi a támadók számára, hogy megkerüljék a vállalati e-mail biztonsági eszközöket, a végpontvédelmi platformokat és a hálózatfelügyeleti vezérlőket.
A beolvasást követően a rosszindulatú QR-kódok a támadók által ellenőrzött infrastruktúrába irányítják a célpontokat, ahol hitelesítő adatok, munkamenet-sütik vagy érzékeny adatok gyűjthetők a szokásos vállalati riasztások kiváltása nélkül.
Az FBI által megfigyelt támadási forgatókönyvek 2025-ben
Az FBI több célzott kampányról számolt be, amelyeket Kimsuky szereplői 2025 májusában és júniusában folytattak, beleértve:
- Külpolitikai tanácsadónak adta ki magát, és egy agytröszt vezetőjét kérte meg, hogy olvasson be egy QR-kódot, hogy hozzáférjen egy kérdőívhez a Koreai-félszigeten történt fejleményekről
- Nagykövetségi alkalmazottnak adva ki magát, aki szakértői véleményt kér az észak-koreai emberi jogokról, egy QR-kóddal, amely állítólag egy „biztonságos meghajtóra” mutat.
- Egy agytröszt munkatársának adva ki magát, és QR-kódokat küldve, amelyek a támadók által ellenőrzött infrastruktúrára irányították át az áldozatokat további kihasználás céljából.
- Stratégiai tanácsadó cég megcélzása hamis konferenciameghívókkal, QR-kódok használatával, amelyek hamis bejelentkezési portálokon keresztül Google-fiók hitelesítő adatainak ellopására létrehozott csalárd regisztrációs oldalakhoz vezettek.
Ezek az incidensek szorosan a biztonsági kutatók egy másik bejelentését követték, akik lelepleztek egy, a Kimsuky által vezetett QR-kampányt, amely egy új Android kártevő-variánst, a „DocSwap”-et terjesztett adathalász e-maileken keresztül, egy szöuli székhelyű logisztikai céget utánozva.
Hogyan teszi lehetővé a Quishing az MFA-val szemben ellenálló behatolásokat?
A modern quishing műveletek gyakran munkamenet-tokenek ellopásához és visszajátszásához vezetnek. Az aktív hitelesítési tokenek rögzítésével a támadók teljesen megkerülhetik a többtényezős hitelesítést, átvehetik az irányítást a felhőidentitások felett anélkül, hogy a szokásos „MFA sikertelen” figyelmeztetések aktiválódnának.
Innentől kezdve a támadók fenntartják a jogokat az áldozati környezetben, és gyakran kihasználják a feltört postaládát másodlagos, célzott adathalász kampányok indítására belsőleg. Mivel a kezdeti kompromittálás nem felügyelt mobileszközökön, a szabványos EDR lefedettségen és a hálózati ellenőrzési határokon kívül történik, a titkosítási titoktartás (quishing) ma már nagy megbízhatóságú, MFA-ellenálló identitás-behatolási technikának számít a vállalati környezetekben.
