Фишинговая атака с использованием QR-кодов Kimsuki

Федеральное бюро расследований США выпустило публичное предупреждение о том, что поддерживаемые государством северокорейские киберпреступники активно используют вредоносные QR-коды в целенаправленных фишинговых кампаниях против организаций в Соединенных Штатах. Эти операции, наблюдаемые в течение 2025 года, представляют собой растущую тенденцию к «кушингингу» — фишинговым атакам, которые используют QR-коды для распространения вредоносного контента.

Кто стоит за этими кампаниями?

Данная активность приписывается террористической группе Kimsuky, также известной в сфере безопасности как APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima. Предполагается, что эта группа связана с Главным разведывательным управлением Северной Кореи (ГРУ).

Kimsuky давно известна своими изощренными фишинговыми атаками, особенно теми, которые направлены на обход или подрыв средств аутентификации электронной почты. В мае 2024 года правительство США публично сообщило, что группа использовала слабые или неправильно настроенные политики DMARC для рассылки электронных писем, убедительно имитирующих легитимные домены.

Почему QR-коды делают эти атаки такими опасными

В отличие от традиционного фишинга, QR-коды, используемые в качестве приманки, перенаправляют жертв с корпоративных систем на личные или слабо защищенные мобильные устройства. Этот сдвиг позволяет злоумышленникам обходить корпоративные средства защиты электронной почты, платформы защиты конечных точек и средства мониторинга сети.

После сканирования вредоносные QR-коды направляют цели к контролируемой злоумышленниками инфраструктуре, где можно получить учетные данные, сессионные cookie-файлы или конфиденциальные данные, не вызывая срабатывания стандартных корпоративных оповещений.

ФБР наблюдает сценарии нападений в 2025 году.

ФБР сообщило о многочисленных целенаправленных кампаниях, проводившихся актерами Kimsuky в мае и июне 2025 года, в том числе:

• Выдавая себя за советника по внешней политике и прося руководителя аналитического центра отсканировать QR-код для доступа к анкете о событиях на Корейском полуострове.
• Замаскировавшись под сотрудника посольства, запрашивающего экспертное мнение по вопросам прав человека в Северной Корее, пользователь разместил QR-код, якобы ведущий к «защищенному накопителю».
• Выдавая себя за сотрудника аналитического центра, злоумышленники рассылали QR-коды, которые перенаправляли жертв на контролируемую ими инфраструктуру для последующей эксплуатации уязвимостей.
• Целью атаки на консалтинговую фирму по распространению поддельных приглашений на конференцию были QR-коды, ведущие на мошеннические страницы регистрации, созданные для кражи учетных данных Google через поддельные порталы входа.

Эти инциденты произошли вскоре после отдельного сообщения исследователей безопасности, которые обнаружили организованную Kimsuky кампанию с использованием QR-кодов, распространявшую новый вариант вредоносного ПО для Android, «DocSwap», посредством фишинговых писем, имитирующих письма от логистической компании из Сеула.

Как механизм «Quishing» обеспечивает устойчивость к вторжениям с использованием многофакторной аутентификации.

Современные операции по перехвату токенов часто завершаются кражей и повторным воспроизведением токенов сессии. Захватив активные токены аутентификации, злоумышленники могут полностью обойти многофакторную аутентификацию, получив контроль над облачными учетными записями без появления обычных предупреждений типа «МФА не удалась».

После этого злоумышленники закрепляются в среде жертвы и часто используют скомпрометированный почтовый ящик для запуска вторичных целевых фишинговых кампаний внутри компании. Поскольку первоначальный взлом происходит на неуправляемых мобильных устройствах, за пределами стандартного покрытия EDR и границ проверки сети, квишинг в настоящее время считается высоконадежным методом взлома личных данных, устойчивым к многофакторной аутентификации, в корпоративных средах.