Kimsuki sukčiavimo QR kodų ataka
JAV federalinis tyrimų biuras paskelbė viešą įspėjamąjį pranešimą, kad Šiaurės Korėjos valstybės remiami kibernetinio saugumo veikėjai aktyviai naudoja kenkėjiškus QR kodus itin tikslinėse sukčiavimo kampanijose prieš organizacijas Jungtinėse Valstijose. Šios operacijos, stebėtos visus 2025 m., rodo vis didėjantį poslinkį link „quishing“ – sukčiavimo atakų, kurios remiasi greitojo reagavimo (QR) kodais kenkėjiškam turiniui pateikti.
Turinys
Kas stovi už kampanijų?
Ši veikla priskiriama „Kimsuky“ grėsmės grupuotei, saugumo bendruomenėje dar žinomai kaip APT43, „Black Banshee“, „Emerald Sleet“, „Springtail“, TA427 ir „Velvet Chollima“. Įvertinta, kad ši grupė susijusi su Šiaurės Korėjos žvalgybos generaliniu biuru (RGB).
„Kimsuky“ jau seniai žinoma dėl sudėtingų tikslinių sukčiavimo operacijų, ypač tų, kurios skirtos apeiti arba pakenkti el. pašto autentifikavimo kontrolei. 2024 m. gegužės mėn. JAV vyriausybė viešai pranešė, kad grupė pasinaudojo silpna arba netinkamai sukonfigūruota DMARC politika, kad išsiųstų el. laiškus, kurie įtikinamai apsimetinėjo teisėtais domenais.
Kodėl QR kodai daro šias atakas tokias pavojingas
Skirtingai nuo tradicinių sukčiavimo atakų, QR kodo pagrindu sukurtos vilioklės aukas nukreipia nuo įmonės valdomų sistemų į asmeninius arba silpnai apsaugotus mobiliuosius įrenginius. Šis pokytis leidžia užpuolikams apeiti įmonės el. pašto saugumo įrankius, galinių taškų apsaugos platformas ir tinklo stebėjimo valdiklius.
Nuskenuoti kenkėjiški QR kodai nukreipia taikinius į užpuoliko kontroliuojamą infrastruktūrą, kur galima rinkti prisijungimo duomenis, sesijos slapukus ar neskelbtinus duomenis nesuaktyvinant standartinių įmonės įspėjimų.
FTB stebimi išpuolių scenarijai 2025 m.
FTB pranešė apie kelias tikslines kampanijas, kurias Kimsuky veikėjai vykdė 2025 m. gegužės ir birželio mėn., įskaitant:
- Apsimetimas užsienio politikos patarėju ir prašymas analitinio centro vadovo nuskaityti QR kodą, kad būtų galima gauti klausimyną apie įvykius Korėjos pusiasalyje.
- Apsimeta ambasados darbuotoju, siekiančiu ekspertų nuomonės apie Šiaurės Korėjos žmogaus teises, naudodamas QR kodą, kuris, kaip teigiama, veda į „saugią atmintinę“.
- Apsimetinėjimas idėjų kalvės darbuotoju ir QR kodų, nukreipiančių aukas į užpuoliko kontroliuojamą infrastruktūrą tolesniam išnaudojimui, siuntimas
- Strateginio konsultavimo įmonei buvo siunčiami suklastoti kvietimai į konferencijas, naudojant QR kodus, kurie vedė į apgaulingus registracijos puslapius, sukurtus siekiant pavogti „Google“ paskyros duomenis per suklastotus prisijungimo portalus.
Šie incidentai įvyko netrukus po atskiro saugumo tyrėjų atskleidimo, kurie atskleidė „Kimsuky“ vykdomą QR kampaniją, platinančią naują „Android“ kenkėjiškos programos variantą „DocSwap“ per sukčiavimo el. laiškus, imituojančius Seule įsikūrusią logistikos įmonę.
Kaip „Quishing“ įgalina MFA atsparius įsilaužimus
Šiuolaikinės automatinio autentifikavimo operacijos dažnai baigiasi sesijos žetonų vagyste ir pakartojimu. Užfiksavę aktyvius autentifikavimo žetonus, užpuolikai gali visiškai apeiti daugiafaktorinį autentifikavimą, perimdami debesies tapatybes nesukeldami įprastų įspėjimų „MFA nepavyko“.
Tuomet priešininkai sukuria nuolatinį įsitvirtinimą aukos aplinkoje ir dažnai pasinaudoja pažeista pašto dėžute, kad pradėtų antrines sukčiavimo kampanijas viduje. Kadangi pradinis įsilaužimas įvyksta nevaldomuose mobiliuosiuose įrenginiuose, už standartinės EDR aprėpties ir tinklo patikrinimo ribų, duomenų skleidimas (quishing) dabar laikomas didelio patikimumo, MFA atsparia tapatybės įsilaužimo technika įmonių aplinkoje.
