Serangan Kod QR Phishing Kimsuki
Biro Siasatan Persekutuan AS telah mengeluarkan amaran nasihat awam bahawa pelaku ancaman yang ditaja oleh negara Korea Utara secara aktif menggunakan kod QR berniat jahat dalam kempen spear-phishing yang disasarkan secara khusus terhadap organisasi di Amerika Syarikat. Operasi ini, yang diperhatikan sepanjang tahun 2025, mewakili peralihan yang semakin meningkat ke arah 'quishing' — serangan phishing yang bergantung pada kod Respons Pantas (QR) untuk menyampaikan kandungan berniat jahat.
Isi kandungan
Siapakah Di Sebalik Kempen-kempen tersebut?
Aktiviti ini dikaitkan dengan kumpulan ancaman Kimsuky, yang juga dikenali di seluruh komuniti keselamatan sebagai APT43, Black Banshee, Emerald Sleet, Springtail, TA427 dan Velvet Chollima. Kluster ini dinilai berkaitan dengan Biro Peninjauan Am (RGB) Korea Utara.
Kimsuky mempunyai reputasi yang lama untuk operasi spear-phishing yang canggih, terutamanya yang direka untuk mengelak atau melemahkan kawalan pengesahan e-mel. Pada Mei 2024, kerajaan AS secara terbuka melaporkan bahawa kumpulan itu telah mengeksploitasi dasar DMARC yang lemah atau dikonfigurasikan dengan tidak betul untuk menghantar e-mel yang secara meyakinkan menyamar sebagai domain yang sah.
Mengapa Kod QR Menjadikan Serangan Ini Begitu Berbahaya
Tidak seperti pancingan data tradisional, gewang berasaskan QR menolak mangsa daripada sistem yang diuruskan oleh korporat dan beralih kepada peranti mudah alih peribadi atau yang dilindungi ringan. Peralihan ini membolehkan penyerang memintas alat keselamatan e-mel perusahaan, platform perlindungan titik akhir dan kawalan pemantauan rangkaian.
Sebaik sahaja diimbas, kod QR berniat jahat akan menghalakan sasaran ke infrastruktur yang dikawal oleh penyerang, di mana kelayakan, kuki sesi atau data sensitif boleh dituai tanpa mencetuskan amaran perusahaan standard.
Senario Serangan yang Diperhatikan FBI pada Tahun 2025
FBI melaporkan pelbagai kempen sasaran yang dijalankan oleh pelakon Kimsuky pada Mei dan Jun 2025, termasuk:
- Menyamar sebagai penasihat dasar luar dan meminta ketua badan pemikir mengimbas kod QR untuk mengakses soal selidik tentang perkembangan di Semenanjung Korea
- Menyamar sebagai pekerja kedutaan untuk mendapatkan input pakar mengenai hak asasi manusia Korea Utara, dengan kod QR yang mendakwa mempunyai pautan ke 'pemandu selamat'
- Menyamar sebagai ahli kakitangan badan pemikir dan menghantar kod QR yang mengalihkan mangsa ke infrastruktur yang dikawal oleh penyerang untuk eksploitasi susulan
- Menyasarkan firma penasihat strategik dengan jemputan persidangan palsu, menggunakan kod QR yang membawa kepada halaman pendaftaran palsu yang dibina untuk mencuri kelayakan akaun Google melalui portal log masuk palsu
Insiden-insiden ini susulan pendedahan berasingan oleh penyelidik keselamatan, yang mendedahkan kempen QR yang dikendalikan oleh Kimsuky yang mengedarkan varian perisian hasad Android baharu, 'DocSwap', melalui e-mel pancingan data yang meniru sebuah syarikat logistik yang berpangkalan di Seoul.
Bagaimana Quishing Membolehkan Pencerobohan Berdaya Tahan MFA
Operasi quishing moden kerap kali membawa kepada kecurian dan ulangan token sesi. Dengan menangkap token pengesahan aktif, penyerang boleh memintas pengesahan berbilang faktor sepenuhnya, mengambil alih identiti awan tanpa mencetuskan amaran 'MFA gagal' yang biasa.
Dari situ, pihak musuh mewujudkan kegigihan dalam persekitaran mangsa dan sering memanfaatkan peti mel yang dikompromi untuk melancarkan kempen spear-phishing sekunder secara dalaman. Oleh kerana kompromi awal berlaku pada peranti mudah alih yang tidak diurus, di luar liputan EDR standard dan sempadan pemeriksaan rangkaian, quishing kini dianggap sebagai teknik pencerobohan identiti berkeyakinan tinggi dan tahan MFA dalam persekitaran perusahaan.
