Kimsuki pikšķerēšanas QR kodu uzbrukums
ASV Federālais izmeklēšanas birojs ir izdevis publisku brīdinājumu, ka Ziemeļkorejas valsts sponsorēti apdraudējumu izpildītāji aktīvi izmanto ļaunprātīgus QR kodus ļoti mērķtiecīgās pikšķerēšanas kampaņās pret organizācijām Amerikas Savienotajās Valstīs. Šīs operācijas, kas novērotas visu 2025. gadu, liecina par pieaugošu pāreju uz "quishing" — pikšķerēšanas uzbrukumiem, kas balstās uz ātrās reaģēšanas (QR) kodiem, lai piegādātu ļaunprātīgu saturu.
Satura rādītājs
Kas stāv aiz kampaņām?
Aktivitāte tiek attiecināta uz Kimsuky draudu grupu, kas drošības aprindās pazīstama arī kā APT43, Black Banshee, Emerald Sleet, Springtail, TA427 un Velvet Chollima. Tiek lēsts, ka šis klasteris ir saistīts ar Ziemeļkorejas Izlūkošanas ģenerālbureau (RGB).
Kimsuky jau izsenis ir pazīstama ar sarežģītām mērķtiecīgām pikšķerēšanas operācijām, īpaši tām, kas paredzētas e-pasta autentifikācijas kontroles apiešanai vai graušanai. 2024. gada maijā ASV valdība publiski ziņoja, ka grupa ir izmantojusi vājas vai nepareizi konfigurētas DMARC politikas, lai nosūtītu e-pastus, kas pārliecinoši atdarināja likumīgus domēnus.
Kāpēc QR kodi padara šos uzbrukumus tik bīstamus
Atšķirībā no tradicionālās pikšķerēšanas, uz QR kodiem balstītas ēsmas atbaida upurus no uzņēmumu pārvaldītajām sistēmām un pārceļ uz personīgām vai viegli aizsargātām mobilajām ierīcēm. Šī pāreja ļauj uzbrucējiem apiet uzņēmuma e-pasta drošības rīkus, galapunktu aizsardzības platformas un tīkla uzraudzības vadīklas.
Pēc skenēšanas ļaunprātīgie QR kodi novirza mērķus uzbrucēja kontrolētā infrastruktūrā, kur var iegūt akreditācijas datus, sesijas sīkfailus vai sensitīvus datus, neizraisot standarta uzņēmuma brīdinājumus.
FBI novērotie uzbrukumu scenāriji 2025. gadā
FBI ziņoja par vairākām mērķtiecīgām kampaņām, ko Kimsuky dalībnieki veica 2025. gada maijā un jūnijā, tostarp:
- Uzdodoties par ārpolitikas padomnieku un lūdzot domnīcas vadītājam noskenēt QR kodu, lai piekļūtu anketai par notikumiem Korejas pussalā.
- Izliekas par vēstniecības darbinieku, kurš meklē eksperta viedokli par Ziemeļkorejas cilvēktiesībām, izmantojot QR kodu, kas apgalvo, ka ved uz "drošu disku".
- Izliekoties par domnīcas darbinieku un sūtot QR kodus, kas novirzīja upurus uz uzbrucēju kontrolētu infrastruktūru turpmākai izmantošanai.
- Stratēģiskās konsultāciju firmas uzbrūkšana ar viltotiem konferenču ielūgumiem, izmantojot QR kodus, kas veda uz krāpnieciskām reģistrācijas lapām, kas izveidotas, lai nozagtu Google konta akreditācijas datus, izmantojot viltotus pieteikšanās portālus.
Šie incidenti notika neilgi pēc atsevišķas informācijas atklāšanas, ko veica drošības pētnieki, kuri atklāja Kimsuky vadītu QR kampaņu, kas izplatīja jaunu Android ļaunprogrammatūras variantu “DocSwap”, izmantojot pikšķerēšanas e-pastus, kas atdarināja Seulā bāzētu loģistikas uzņēmumu.
Kā Quishing nodrošina MFA noturīgus ielaušanās gadījumus
Mūsdienu quishing operācijas bieži vien noved pie sesijas marķiera zādzības un atkārtotas atskaņošanas. Uztverot aktīvās autentifikācijas marķierus, uzbrucēji var pilnībā apiet daudzfaktoru autentifikāciju, pārņemot mākoņa identitātes, neizraisot ierastos brīdinājumus “MFA kļūme”.
No turienes pretinieki izveido noturību upura vidē un bieži izmanto kompromitēto pastkasti, lai iekšēji uzsāktu sekundāras pikšķerēšanas kampaņas. Tā kā sākotnējā kompromitēšana notiek nepārvaldītās mobilajās ierīcēs ārpus standarta EDR pārklājuma un tīkla pārbaudes robežām, bloķēšana (quishing) tagad tiek uzskatīta par augstas uzticamības, MFA izturīgu identitātes ielaušanās metodi uzņēmumu vidē.
