การโจมตีด้วยรหัส QR ฟิชชิ่ง Kimsuki

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนต่อสาธารณะว่า กลุ่มผู้คุกคามที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กำลังใช้รหัส QR ที่เป็นอันตรายในการโจมตีแบบสเปียร์ฟิชชิ่ง (spear-phishing) อย่างเจาะจงเป้าหมายต่อองค์กรต่างๆ ในสหรัฐอเมริกา การปฏิบัติการเหล่านี้ ซึ่งพบเห็นได้ตลอดปี 2025 แสดงให้เห็นถึงการเปลี่ยนแปลงที่เพิ่มขึ้นไปสู่การโจมตีแบบ "ควีชชิ่ง" (quishing) ซึ่งเป็นการโจมตีแบบฟิชชิ่งที่อาศัยรหัส QR ในการส่งเนื้อหาที่เป็นอันตราย

ใครอยู่เบื้องหลังแคมเปญเหล่านี้?

กิจกรรมดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่มภัยคุกคามคิมซูกี้ ซึ่งเป็นที่รู้จักกันในแวดวงความมั่นคงในชื่อ APT43, Black Banshee, Emerald Sleet, Springtail, TA427 และ Velvet Chollima กลุ่มนี้ได้รับการประเมินว่าเชื่อมโยงกับสำนักงานข่าวกรองทั่วไป (RGB) ของเกาหลีเหนือ

กลุ่ม Kimsuky มีชื่อเสียงมายาวนานในด้านการโจมตีแบบ Spear-phishing ที่ซับซ้อน โดยเฉพาะอย่างยิ่งการโจมตีที่ออกแบบมาเพื่อหลีกเลี่ยงหรือบ่อนทำลายการควบคุมการตรวจสอบความถูกต้องของอีเมล ในเดือนพฤษภาคม 2024 รัฐบาลสหรัฐฯ รายงานต่อสาธารณะว่ากลุ่มดังกล่าวได้ใช้ประโยชน์จากนโยบาย DMARC ที่อ่อนแอหรือตั้งค่าไม่ถูกต้อง เพื่อส่งอีเมลที่ปลอมแปลงเป็นโดเมนที่ถูกต้องได้อย่างแนบเนียน

เหตุใดรหัส QR จึงทำให้การโจมตีเหล่านี้อันตรายยิ่งขึ้น

แตกต่างจากฟิชชิงแบบดั้งเดิม การล่อลวงด้วยรหัส QR จะผลักดันเหยื่อออกจากระบบที่องค์กรจัดการ และไปใช้โทรศัพท์มือถือส่วนตัวหรืออุปกรณ์ที่มีการป้องกันน้อย การเปลี่ยนแปลงนี้ทำให้ผู้โจมตีสามารถหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยอีเมลขององค์กร แพลตฟอร์มการป้องกันปลายทาง และการควบคุมการตรวจสอบเครือข่ายได้

เมื่อสแกนแล้ว รหัส QR ที่เป็นอันตรายจะนำเป้าหมายไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม ซึ่งสามารถขโมยข้อมูลประจำตัว คุกกี้เซสชัน หรือข้อมูลที่ละเอียดอ่อนได้โดยไม่ทำให้ระบบแจ้งเตือนมาตรฐานขององค์กรทำงาน

สถานการณ์การโจมตีที่ FBI คาดการณ์ไว้ในปี 2025

สำนักงานสอบสวนกลางสหรัฐฯ (FBI) รายงานว่ามีการดำเนินการโจมตีเป้าหมายหลายครั้งโดยกลุ่มบุคคลที่ถูกกล่าวหาว่าเกี่ยวข้องกับคิมซูกี้ ในเดือนพฤษภาคมและมิถุนายน ปี 2025 ซึ่งรวมถึง:

• แอบอ้างเป็นที่ปรึกษาด้านนโยบายต่างประเทศ และขอให้ผู้นำของสถาบันวิจัยสแกนคิวอาร์โค้ดเพื่อเข้าถึงแบบสอบถามเกี่ยวกับสถานการณ์ในคาบสมุทรเกาหลี
• โดยแอบอ้างเป็นพนักงานสถานทูตที่ต้องการข้อมูลจากผู้เชี่ยวชาญด้านสิทธิมนุษยชนในเกาหลีเหนือ พร้อมแนบคิวอาร์โค้ดที่อ้างว่าเชื่อมโยงไปยัง 'ไดรฟ์ที่ปลอดภัย'
• โดยแอบอ้างเป็นเจ้าหน้าที่ของสถาบันวิจัย และส่งคิวอาร์โค้ดที่นำเหยื่อไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมเพื่อทำการโจรกรรมต่อ
• การหลอกลวงบริษัทที่ปรึกษาเชิงกลยุทธ์ด้วยการส่งคำเชิญเข้าร่วมการประชุมปลอม โดยใช้รหัส QR ที่นำไปสู่หน้าลงทะเบียนปลอมที่สร้างขึ้นเพื่อขโมยข้อมูลประจำตัวบัญชี Google ผ่านพอร์ทัลการเข้าสู่ระบบปลอม

เหตุการณ์เหล่านี้เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัยได้เปิดเผยข้อมูลอีกชิ้นหนึ่ง ซึ่งพบว่า Kimsuky ดำเนินการแคมเปญ QR Code เพื่อเผยแพร่ไวรัส Android สายพันธุ์ใหม่ที่ชื่อว่า 'DocSwap' ผ่านอีเมลฟิชชิ่งที่ปลอมตัวเป็นบริษัทโลจิสติกส์ในกรุงโซล

วิธีที่ Quishing ช่วยให้การบุกรุกมีความทนทานต่อ MFA

การโจมตีเพื่อทำลายระบบรักษาความปลอดภัยในยุคปัจจุบันมักจบลงด้วยการขโมยโทเค็นเซสชันและการโจมตีซ้ำ โดยการดักจับโทเค็นการตรวจสอบสิทธิ์ที่ใช้งานอยู่ ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์แบบหลายปัจจัยได้อย่างสมบูรณ์ และเข้าควบคุมข้อมูลประจำตัวบนคลาวด์ได้โดยไม่ทำให้เกิดคำเตือน "MFA ล้มเหลว" ตามปกติ

จากนั้น ผู้โจมตีจะสร้างความคงอยู่ภายในสภาพแวดล้อมของเหยื่อ และมักใช้กล่องจดหมายที่ถูกบุกรุกเพื่อเปิดตัวแคมเปญฟิชชิงแบบเจาะจงเป้าหมาย (spear-phishing) ครั้งที่สองภายในองค์กร เนื่องจากจุดเริ่มต้นของการโจมตีเกิดขึ้นบนอุปกรณ์เคลื่อนที่ที่ไม่ได้รับการจัดการ ซึ่งอยู่นอกเหนือขอบเขตการครอบคลุมของ EDR มาตรฐานและขอบเขตการตรวจสอบเครือข่าย การโจมตีแบบ quishing จึงถือเป็นเทคนิคการบุกรุกข้อมูลส่วนบุคคลที่มีความน่าเชื่อถือสูงและทนทานต่อ MFA ในสภาพแวดล้อมขององค์กร