Útok s phishingovými QR kódmi Kimsuki
Americký Federálny úrad pre vyšetrovanie vydal verejné varovanie, že severokórejskí štátom sponzorovaní aktéri kybernetických útokov aktívne používajú škodlivé QR kódy vo vysoko cielených phishingových kampaniach proti organizáciám v Spojených štátoch. Tieto operácie, pozorované počas celého roka 2025, predstavujú rastúci posun smerom k „quishingu“ – phishingovým útokom, ktoré sa spoliehajú na kódy rýchlej reakcie (QR) na doručovanie škodlivého obsahu.
Obsah
Kto stojí za kampaňami?
Aktivita sa pripisuje skupine Kimsuky, ktorá je v bezpečnostnej komunite známa aj ako APT43, Black Banshee, Emerald Sleet, Springtail, TA427 a Velvet Chollima. Predpokladá sa, že tento klaster je prepojený so severokórejským Generálnym prieskumným úradom (RGB).
Kimsuky má dlhodobú reputáciu sofistikovaných spear-phishingových operácií, najmä tých, ktoré sú určené na obchádzanie alebo podkopávanie kontrol overovania e-mailov. V máji 2024 americká vláda verejne oznámila, že skupina zneužila slabé alebo nesprávne nakonfigurované politiky DMARC na odosielanie e-mailov, ktoré sa presvedčivo vydávali za legitímne domény.
Prečo QR kódy robia tieto útoky tak nebezpečnými
Na rozdiel od tradičného phishingu, návnady založené na QR kódoch odháňajú obete od systémov spravovaných spoločnosťami a presúvajú ich na osobné alebo slabo chránené mobilné zariadenia. Tento posun umožňuje útočníkom obísť nástroje na zabezpečenie podnikových e-mailov, platformy na ochranu koncových bodov a ovládacie prvky monitorovania siete.
Po naskenovaní škodlivé QR kódy smerujú ciele do infraštruktúry kontrolovanej útočníkom, kde je možné zhromažďovať prihlasovacie údaje, súbory cookie relácie alebo citlivé údaje bez spustenia štandardných podnikových upozornení.
Scenáre útokov pozorovaných FBI v roku 2025
FBI informovala o viacerých cielených kampaniach, ktoré v máji a júni 2025 viedli aktéri Kimsuky, vrátane:
- Vydávanie sa za poradcu pre zahraničnú politiku a požiadanie vedúceho think-tanku o naskenovanie QR kódu pre prístup k dotazníku o vývoji na Kórejskom polostrove
- Vydáva sa za zamestnanca veľvyslanectva a hľadá odborný názor na ľudské práva v Severnej Kórei s QR kódom, ktorý údajne odkazuje na „zabezpečený disk“.
- Vydával sa za zamestnanca think-tanku a odosielal QR kódy, ktoré presmerovali obete na infraštruktúru kontrolovanú útočníkom na následné zneužitie.
- Zacielenie na strategickú poradenskú firmu s falošnými pozvánkami na konferencie pomocou QR kódov, ktoré viedli k podvodným registračným stránkam vytvoreným na krádež prihlasovacích údajov k účtu Google prostredníctvom falošných prihlasovacích portálov.
Tieto incidenty nasledovali tesne po samostatnom odhalení bezpečnostných výskumníkov, ktorí odhalili kampaň s QR kódmi prevádzkovanú spoločnosťou Kimsuky, ktorá šírila nový variant malvéru pre Android s názvom „DocSwap“ prostredníctvom phishingových e-mailov napodobňujúcich logistickú spoločnosť so sídlom v Soule.
Ako potlačenie umožňuje prieniky odolné voči MFA
Moderné operácie quishingu často vyvrcholia krádežou a opätovným prehrávaním tokenov relácie. Zachytením aktívnych autentifikačných tokenov môžu útočníci úplne obísť viacfaktorové overovanie a prevziať cloudové identity bez spustenia bežných varovaní „MFA zlyhalo“.
Odtiaľ útočníci vybudujú perzistenciu v prostredí obete a často zneužívajú napadnutú poštovú schránku na spustenie sekundárnych phishingových kampaní interne. Keďže k počiatočnému napadnutiu dochádza na nespravovaných mobilných zariadeniach, mimo štandardného pokrytia EDR a hraníc kontroly siete, potláčanie údajov sa teraz považuje za vysoko spoľahlivú techniku narušenia identity odolnú voči MFA v podnikových prostrediach.
