Napad s phishing QR kodami Kimsuki
Ameriški Zvezni preiskovalni urad (FBI) je izdal javno opozorilo, da severnokorejski državni akterji grožnje aktivno uporabljajo zlonamerne kode QR v zelo ciljno usmerjenih kampanjah lažnega predstavljanja proti organizacijam v Združenih državah. Te operacije, ki so bile opažene skozi vse leto 2025, predstavljajo vse večji premik k »quishingu« – napadom lažnega predstavljanja, ki se za pošiljanje zlonamerne vsebine zanašajo na kode hitrega odziva (QR).
Kazalo
Kdo stoji za kampanjami?
Dejavnost pripisujejo skupini Kimsuky, ki je v varnostni skupnosti znana tudi kot APT43, Black Banshee, Emerald Sleet, Springtail, TA427 in Velvet Chollima. Ocenjuje se, da je ta skupina povezana s severnokorejskim generalnim izvidniškim uradom (RGB).
Kimsuky ima dolgoletni sloves sofisticiranih operacij lažnega predstavljanja, zlasti tistih, ki so namenjene izogibanju ali spodkopavanju nadzora pristnosti e-pošte. Maja 2024 je ameriška vlada javno poročala, da je skupina izkoristila šibke ali nepravilno konfigurirane politike DMARC za pošiljanje e-poštnih sporočil, ki so se prepričljivo izdajala za legitimne domene.
Zakaj so QR kode tako nevarne za te napade
Za razliko od tradicionalnega phishinga vabe, ki temeljijo na QR-kodah, žrtve odvrnejo od sistemov, ki jih upravljajo podjetja, in jih usmerijo na osebne ali slabo zaščitene mobilne naprave. Ta premik napadalcem omogoča, da zaobidejo orodja za varnost e-pošte v podjetjih, platforme za zaščito končnih točk in nadzor omrežja.
Ko so zlonamerne kode QR skenirane, usmerijo tarče v infrastrukturo, ki jo nadzoruje napadalec, kjer je mogoče pridobiti poverilnice, sejne piškotke ali občutljive podatke, ne da bi se sprožila standardna poslovna opozorila.
Scenariji napadov, ki jih je opazoval FBI, leta 2025
FBI je poročal o več ciljno usmerjenih kampanjah, ki so jih akterji Kimsukyja izvedli maja in junija 2025, vključno z:
- Predstavljanje svetovalca za zunanjo politiko in prošnja vodji možganskega trusta, naj skenira kodo QR za dostop do vprašalnika o dogajanju na Korejskem polotoku
- Preoblečen v zaposlenega na veleposlaništvu, ki išče strokovno mnenje o človekovih pravicah v Severni Koreji, s kodo QR, ki naj bi povezovala z "varnim pogonom"
- Predstavljanje kot član osebja možganskega trusta in pošiljanje QR kod, ki so žrtve preusmerjale na infrastrukturo, ki jo je nadzoroval napadalec, za nadaljnje izkoriščanje
- Ciljanje na strateško svetovalno podjetje s ponarejenimi vabili na konference, uporaba QR kod, ki so vodile do lažnih registracijskih strani, ustvarjenih za krajo poverilnic za Google Račun prek ponarejenih prijavnih portalov
Ti incidenti so sledili tik za ločenim razkritjem varnostnih raziskovalcev, ki so odkrili kampanjo QR, ki jo je vodil Kimsuky in je distribuirala novo različico zlonamerne programske opreme za Android, »DocSwap«, prek lažnih e-poštnih sporočil, ki so posnemala logistično podjetje s sedežem v Seulu.
Kako utišanje omogoča vdore, odporne na MFA
Sodobne operacije utišanja pogosto dosežejo vrhunec v kraji in ponovnem predvajanju žetonov seje. Z zajemanjem aktivnih žetonov za preverjanje pristnosti lahko napadalci v celoti zaobidejo večfaktorsko preverjanje pristnosti in prevzamejo identitete v oblaku, ne da bi sprožili običajna opozorila »MFA ni uspelo«.
Od tam naprej nasprotniki vzpostavijo vztrajnost v okolju žrtve in pogosto izkoristijo ogroženi poštni nabiralnik za interno izvajanje sekundarnih kampanj lažnega predstavljanja. Ker se začetna ogrožitev zgodi na neupravljanih mobilnih napravah, zunaj standardne pokritosti EDR in meja omrežnega pregleda, se utišanje zdaj šteje za visoko zaupno tehniko vdora v identiteto, odporno na večfaktorsko autentifikacijo (MFA), v poslovnih okoljih.
