ਕਿਮਸੁਕੀ ਫਿਸ਼ਿੰਗ QR ਕੋਡ ਹਮਲਾ

ਯੂਐਸ ਫੈਡਰਲ ਬਿਊਰੋ ਆਫ਼ ਇਨਵੈਸਟੀਗੇਸ਼ਨ ਨੇ ਇੱਕ ਜਨਤਕ ਸਲਾਹਕਾਰੀ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ ਹੈ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆਈ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਖਤਰਨਾਕ QR ਕੋਡਾਂ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। 2025 ਦੌਰਾਨ ਦੇਖੇ ਗਏ ਇਹ ਓਪਰੇਸ਼ਨ 'ਕੁਇਸ਼ਿੰਗ' ਵੱਲ ਵਧ ਰਹੇ ਬਦਲਾਅ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ - ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਜੋ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕੁਇੱਕ ਰਿਸਪਾਂਸ (QR) ਕੋਡਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।

ਮੁਹਿੰਮਾਂ ਪਿੱਛੇ ਕੌਣ ਹੈ?

ਇਸ ਗਤੀਵਿਧੀ ਦਾ ਸਿਹਰਾ ਕਿਮਸੁਕੀ ਧਮਕੀ ਸਮੂਹ ਨੂੰ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ APT43, ਬਲੈਕ ਬੈਨਸ਼ੀ, ਐਮਰਾਲਡ ਸਲੀਟ, ਸਪ੍ਰਿੰਗਟੇਲ, TA427, ਅਤੇ ਵੈਲਵੇਟ ਚੋਲੀਮਾ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਸਮੂਹ ਦਾ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰਿਕੋਨਾਈਸੈਂਸ ਜਨਰਲ ਬਿਊਰੋ (RGB) ਨਾਲ ਜੁੜਿਆ ਹੋਣਾ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

ਕਿਮਸੁਕੀ ਦੀ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਸੂਝਵਾਨ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਪ੍ਰਸਿੱਧੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹ ਜੋ ਈਮੇਲ ਪ੍ਰਮਾਣੀਕਰਨ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਚਣ ਜਾਂ ਕਮਜ਼ੋਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਮਈ 2024 ਵਿੱਚ, ਅਮਰੀਕੀ ਸਰਕਾਰ ਨੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਰਿਪੋਰਟ ਦਿੱਤੀ ਕਿ ਸਮੂਹ ਨੇ ਕਮਜ਼ੋਰ ਜਾਂ ਗਲਤ ਢੰਗ ਨਾਲ ਸੰਰਚਿਤ DMARC ਨੀਤੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਈਮੇਲ ਭੇਜੇ ਸਨ ਜੋ ਯਕੀਨਨ ਜਾਇਜ਼ ਡੋਮੇਨਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਸਨ।

QR ਕੋਡ ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਨੂੰ ਇੰਨੇ ਖ਼ਤਰਨਾਕ ਕਿਉਂ ਬਣਾਉਂਦੇ ਹਨ

ਰਵਾਇਤੀ ਫਿਸ਼ਿੰਗ ਦੇ ਉਲਟ, QR-ਅਧਾਰਿਤ ਲਾਲਚ ਪੀੜਤਾਂ ਨੂੰ ਕਾਰਪੋਰੇਟ-ਪ੍ਰਬੰਧਿਤ ਪ੍ਰਣਾਲੀਆਂ ਤੋਂ ਦੂਰ ਅਤੇ ਨਿੱਜੀ ਜਾਂ ਹਲਕੇ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਵੱਲ ਧੱਕਦੇ ਹਨ। ਇਹ ਤਬਦੀਲੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਈਮੇਲ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ, ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਪਲੇਟਫਾਰਮਾਂ, ਅਤੇ ਨੈੱਟਵਰਕ ਨਿਗਰਾਨੀ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਇੱਕ ਵਾਰ ਸਕੈਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ QR ਕੋਡ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿੱਥੇ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਸੈਸ਼ਨ ਕੂਕੀਜ਼, ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸਟੈਂਡਰਡ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਅਲਰਟ ਨੂੰ ਚਾਲੂ ਕੀਤੇ ਬਿਨਾਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

2025 ਵਿੱਚ ਐਫਬੀਆਈ-ਨਿਰੀਖਣ ਕੀਤੇ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼

ਐਫਬੀਆਈ ਨੇ ਮਈ ਅਤੇ ਜੂਨ 2025 ਵਿੱਚ ਕਿਮਸੁਕੀ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਚਲਾਈਆਂ ਗਈਆਂ ਕਈ ਨਿਸ਼ਾਨਾ ਮੁਹਿੰਮਾਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਵਿਦੇਸ਼ ਨੀਤੀ ਸਲਾਹਕਾਰ ਦੀ ਨਕਲ ਕਰਨਾ ਅਤੇ ਇੱਕ ਥਿੰਕ ਟੈਂਕ ਨੇਤਾ ਨੂੰ ਕੋਰੀਆਈ ਪ੍ਰਾਇਦੀਪ 'ਤੇ ਵਿਕਾਸ ਬਾਰੇ ਪ੍ਰਸ਼ਨਾਵਲੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ QR ਕੋਡ ਸਕੈਨ ਕਰਨ ਲਈ ਕਹਿਣਾ
• ਇੱਕ ਦੂਤਾਵਾਸ ਕਰਮਚਾਰੀ ਦੇ ਰੂਪ ਵਿੱਚ ਉੱਤਰੀ ਕੋਰੀਆਈ ਮਨੁੱਖੀ ਅਧਿਕਾਰਾਂ ਬਾਰੇ ਮਾਹਰ ਇਨਪੁੱਟ ਦੀ ਮੰਗ ਕਰ ਰਿਹਾ ਹੈ, ਇੱਕ QR ਕੋਡ ਦੇ ਨਾਲ ਜੋ ਇੱਕ 'ਸੁਰੱਖਿਅਤ ਡਰਾਈਵ' ਨਾਲ ਜੁੜਨ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ
• ਇੱਕ ਥਿੰਕ ਟੈਂਕ ਸਟਾਫ ਮੈਂਬਰ ਵਜੋਂ ਪੇਸ਼ ਹੋਣਾ ਅਤੇ ਅਜਿਹੇ QR ਕੋਡ ਭੇਜਣਾ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਭੇਜਦੇ ਹਨ ਤਾਂ ਜੋ ਫਾਲੋ-ਆਨ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕੇ।
• ਇੱਕ ਰਣਨੀਤਕ ਸਲਾਹਕਾਰ ਫਰਮ ਨੂੰ ਨਕਲੀ ਕਾਨਫਰੰਸ ਸੱਦਿਆਂ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, QR ਕੋਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਿਸ ਨਾਲ ਨਕਲੀ ਲੌਗਇਨ ਪੋਰਟਲਾਂ ਰਾਹੀਂ ਗੂਗਲ ਖਾਤੇ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਲਈ ਧੋਖਾਧੜੀ ਵਾਲੇ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਪੰਨੇ ਬਣਾਏ ਗਏ।

ਇਹ ਘਟਨਾਵਾਂ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਵੱਖਰੇ ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਹੋਈਆਂ, ਜਿਨ੍ਹਾਂ ਨੇ ਕਿਮਸੁਕੀ ਦੁਆਰਾ ਚਲਾਈ ਜਾ ਰਹੀ ਇੱਕ QR ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਜੋ ਸਿਓਲ-ਅਧਾਰਤ ਲੌਜਿਸਟਿਕਸ ਕੰਪਨੀ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਇੱਕ ਨਵਾਂ ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਵੇਰੀਐਂਟ, 'DocSwap' ਵੰਡ ਰਹੀ ਸੀ।

ਕੁਇਸ਼ਿੰਗ ਐਮਐਫਏ-ਲਚਕੀਲੇ ਘੁਸਪੈਠ ਨੂੰ ਕਿਵੇਂ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ

ਆਧੁਨਿਕ ਕੁਇਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨ ਅਕਸਰ ਸੈਸ਼ਨ ਟੋਕਨ ਚੋਰੀ ਅਤੇ ਰੀਪਲੇਅ ਵਿੱਚ ਸਮਾਪਤ ਹੁੰਦੇ ਹਨ। ਸਰਗਰਮ ਪ੍ਰਮਾਣੀਕਰਨ ਟੋਕਨਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਕੇ, ਹਮਲਾਵਰ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਹਨ, ਆਮ 'MFA ਅਸਫਲ' ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਚਾਲੂ ਕੀਤੇ ਬਿਨਾਂ ਕਲਾਉਡ ਪਛਾਣਾਂ 'ਤੇ ਕਬਜ਼ਾ ਕਰ ਸਕਦੇ ਹਨ।

ਉੱਥੋਂ, ਵਿਰੋਧੀ ਪੀੜਤ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਦੇ ਹਨ ਅਤੇ ਅਕਸਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਮੇਲਬਾਕਸ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ ਤਾਂ ਜੋ ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ ਸੈਕੰਡਰੀ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਸ਼ੁਰੂ ਕੀਤੀਆਂ ਜਾ ਸਕਣ। ਕਿਉਂਕਿ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਗੈਰ-ਪ੍ਰਬੰਧਿਤ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ 'ਤੇ ਹੁੰਦਾ ਹੈ, ਮਿਆਰੀ EDR ਕਵਰੇਜ ਅਤੇ ਨੈੱਟਵਰਕ ਨਿਰੀਖਣ ਸੀਮਾਵਾਂ ਤੋਂ ਬਾਹਰ, ਕੁਇਸ਼ਿੰਗ ਨੂੰ ਹੁਣ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਇੱਕ ਉੱਚ-ਵਿਸ਼ਵਾਸ, MFA-ਰੋਧਕ ਪਛਾਣ ਘੁਸਪੈਠ ਤਕਨੀਕ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।