ការវាយប្រហារដោយលេខកូដ QR Phishing របស់ Kimsuki

ការិយាល័យស៊ើបអង្កេតសហព័ន្ធសហរដ្ឋអាមេរិកបានចេញការព្រមានជាសាធារណៈថា ជនគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋកូរ៉េខាងជើងកំពុងប្រើប្រាស់លេខកូដ QR ដែលមានគំនិតអាក្រក់យ៉ាងសកម្មនៅក្នុងយុទ្ធនាការបន្លំលួចទិន្នន័យដែលមានគោលដៅខ្ពស់ប្រឆាំងនឹងអង្គការនានានៅសហរដ្ឋអាមេរិក។ ប្រតិបត្តិការទាំងនេះ ដែលត្រូវបានគេសង្កេតឃើញពេញមួយឆ្នាំ ២០២៥ តំណាងឱ្យការផ្លាស់ប្តូរកាន់តែខ្លាំងឡើងឆ្ពោះទៅរក 'ការបង្ក្រាប' — ការវាយប្រហារបន្លំទិន្នន័យដែលពឹងផ្អែកលើលេខកូដ Quick Response (QR) ដើម្បីផ្តល់ខ្លឹមសារដែលមានគំនិតអាក្រក់។

តើអ្នកណានៅពីក្រោយយុទ្ធនាការទាំងនេះ?

សកម្មភាពនេះត្រូវបានសន្មតថាជារបស់ក្រុមគំរាមកំហែង Kimsuky ដែលត្រូវបានគេស្គាល់នៅទូទាំងសហគមន៍សន្តិសុខថា APT43, Black Banshee, Emerald Sleet, Springtail, TA427 និង Velvet Chollima។ ចង្កោមនេះត្រូវបានវាយតម្លៃថាមានទំនាក់ទំនងជាមួយការិយាល័យស៊ើបការណ៍សម្ងាត់ទូទៅ (RGB) របស់កូរ៉េខាងជើង។

Kimsuky មានកេរ្តិ៍ឈ្មោះយូរអង្វែងសម្រាប់ប្រតិបត្តិការបន្លំលួចយកទិន្នន័យតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ ជាពិសេសប្រតិបត្តិការដែលត្រូវបានរចនាឡើងដើម្បីគេចវេះ ឬធ្វើឱ្យខូចការគ្រប់គ្រងការផ្ទៀងផ្ទាត់អ៊ីមែល។ នៅក្នុងខែឧសភា ឆ្នាំ២០២៤ រដ្ឋាភិបាលសហរដ្ឋអាមេរិកបានរាយការណ៍ជាសាធារណៈថា ក្រុមនេះបានកេងចំណេញពីគោលនយោបាយ DMARC ដែលខ្សោយ ឬកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ ដើម្បីផ្ញើអ៊ីមែលដែលក្លែងបន្លំដែនស្របច្បាប់យ៉ាងគួរឱ្យជឿជាក់។

ហេតុអ្វីបានជាលេខកូដ QR ធ្វើឱ្យការវាយប្រហារទាំងនេះមានគ្រោះថ្នាក់ខ្លាំង

មិនដូចការបន្លំបែបប្រពៃណីទេ ការល្បួងដែលមានមូលដ្ឋានលើ QR រុញជនរងគ្រោះឱ្យឆ្ងាយពីប្រព័ន្ធដែលគ្រប់គ្រងដោយសាជីវកម្ម ហើយទៅកាន់ឧបករណ៍ចល័តផ្ទាល់ខ្លួន ឬឧបករណ៍ចល័តដែលមានការការពារស្រាល។ ការផ្លាស់ប្តូរនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររំលងឧបករណ៍សុវត្ថិភាពអ៊ីមែលសហគ្រាស វេទិកាការពារចំណុចបញ្ចប់ និងការគ្រប់គ្រងការត្រួតពិនិត្យបណ្តាញ។

នៅពេលដែលស្កេនរួច លេខកូដ QR ដែលមានគំនិតអាក្រក់នឹងបញ្ជូនគោលដៅទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ជាកន្លែងដែលព័ត៌មានសម្ងាត់ ខូគីវគ្គ ឬទិន្នន័យរសើបអាចត្រូវបានគេប្រមូលបានដោយមិនចាំបាច់បង្កឱ្យមានការជូនដំណឹងដល់សហគ្រាសស្តង់ដារ។

សេណារីយ៉ូវាយប្រហារដែលសង្កេតឃើញដោយ FBI ក្នុងឆ្នាំ ២០២៥

FBI បានរាយការណ៍ពីយុទ្ធនាការកំណត់គោលដៅជាច្រើនដែលធ្វើឡើងដោយតារាសម្ដែង Kimsuky ក្នុងខែឧសភា និងខែមិថុនា ឆ្នាំ២០២៥ រួមមាន៖

• ការធ្វើពុតជាទីប្រឹក្សាគោលនយោបាយការបរទេស និងសុំឱ្យមេដឹកនាំក្រុមអ្នកគិតស្កេនលេខកូដ QR ដើម្បីចូលមើលកម្រងសំណួរអំពីការវិវត្តនៅលើឧបទ្វីបកូរ៉េ
• ដោយក្លែងខ្លួនជាបុគ្គលិកស្ថានទូតដែលកំពុងស្វែងរកការចូលរួមពីអ្នកជំនាញលើសិទ្ធិមនុស្សកូរ៉េខាងជើង ជាមួយនឹងលេខកូដ QR ដែលអះអាងថាភ្ជាប់ទៅ 'ការបើកបរដែលមានសុវត្ថិភាព'
• ក្លែងបន្លំជាសមាជិកបុគ្គលិកនៃក្រុមស្រាវជ្រាវ ហើយផ្ញើលេខកូដ QR ដែលបញ្ជូនជនរងគ្រោះទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារសម្រាប់ការកេងប្រវ័ញ្ចជាបន្តបន្ទាប់
• ការកំណត់គោលដៅក្រុមហ៊ុនប្រឹក្សាយោបល់យុទ្ធសាស្ត្រជាមួយនឹងការអញ្ជើញចូលរួមសន្និសីទក្លែងក្លាយ ដោយប្រើលេខកូដ QR ដែលនាំឱ្យមានទំព័រចុះឈ្មោះក្លែងក្លាយដែលបង្កើតឡើងដើម្បីលួចយកព័ត៌មានសម្គាល់គណនី Google តាមរយៈវិបផតថលចូលក្លែងក្លាយ

ហេតុការណ៍ទាំងនេះបានកើតឡើងបន្ទាប់ពីការបង្ហាញព័ត៌មានដាច់ដោយឡែកមួយដោយអ្នកស្រាវជ្រាវសន្តិសុខ ដែលបានរកឃើញយុទ្ធនាការ QR ដែលដឹកនាំដោយ Kimsuky ដែលចែកចាយមេរោគ Android ថ្មីមួយប្រភេទ 'DocSwap' តាមរយៈអ៊ីមែលបន្លំបន្លំដែលធ្វើត្រាប់តាមក្រុមហ៊ុនដឹកជញ្ជូនដែលមានមូលដ្ឋាននៅទីក្រុងសេអ៊ូល។

របៀបដែល Quishing អនុញ្ញាតឱ្យមានការឈ្លានពានដែលធន់នឹង MFA

ប្រតិបត្តិការ​បង្ក្រាប​ទំនើបៗ​ជារឿយៗ​នាំ​ឲ្យ​មាន​ការ​លួច​សញ្ញា​សម្ងាត់​វគ្គ​ និង​ការ​ចាក់​ផ្សាយ​ឡើង​វិញ។ ដោយ​ការ​ចាប់​យក​សញ្ញា​សម្ងាត់​ផ្ទៀងផ្ទាត់​សកម្ម អ្នក​វាយប្រហារ​អាច​រំលង​ការ​ផ្ទៀងផ្ទាត់​ពហុ​កត្តា​ទាំង​ស្រុង ដោយ​គ្រប់គ្រង​អត្តសញ្ញាណ​ពពក​ដោយ​មិន​បង្ក​ឲ្យ​មាន​ការ​ព្រមាន 'MFA failed' ធម្មតា​ឡើយ។

ពីទីនោះ សត្រូវបង្កើតការតស៊ូនៅក្នុងបរិស្ថានជនរងគ្រោះ ហើយជារឿយៗទាញយកអត្ថប្រយោជន៍ពីប្រអប់សំបុត្រដែលរងការសម្របសម្រួលដើម្បីចាប់ផ្តើមយុទ្ធនាការបន្លំលួចចូលប្រព័ន្ធបន្ទាប់បន្សំនៅខាងក្នុង។ ដោយសារតែការសម្របសម្រួលដំបូងកើតឡើងនៅលើឧបករណ៍ចល័តដែលមិនបានគ្រប់គ្រង នៅខាងក្រៅការគ្របដណ្តប់ EDR ស្តង់ដារ និងព្រំដែនត្រួតពិនិត្យបណ្តាញ ការបង្ក្រាបឥឡូវនេះត្រូវបានចាត់ទុកថាជាបច្ចេកទេសឈ្លានពានអត្តសញ្ញាណដែលមានទំនុកចិត្តខ្ពស់ និងធន់នឹង MFA នៅក្នុងបរិស្ថានសហគ្រាស។