Kimsuki Kimlik Avı QR Kodları Saldırısı
ABD Federal Soruşturma Bürosu (FBI), Kuzey Kore devlet destekli tehdit aktörlerinin ABD'deki kuruluşlara yönelik son derece hedefli oltalama saldırılarında kötü amaçlı QR kodlarını aktif olarak kullandığı konusunda kamuoyuna bir uyarı yayınladı. 2025 yılı boyunca gözlemlenen bu operasyonlar, kötü amaçlı içerik sunmak için Hızlı Yanıt (QR) kodlarına dayanan oltalama saldırıları olan 'quishing'e doğru artan bir kaymayı temsil ediyor.
İçindekiler
Kampanyaların Arkasında Kim Var?
Bu faaliyet, güvenlik camiasında APT43, Black Banshee, Emerald Sleet, Springtail, TA427 ve Velvet Chollima olarak da bilinen Kimsuky tehdit grubuna atfediliyor. Bu grubun Kuzey Kore'nin İstihbarat Genel Bürosu (RGB) ile bağlantılı olduğu değerlendiriliyor.
Kimsuky, özellikle e-posta kimlik doğrulama kontrollerini atlatmak veya baltalamak için tasarlanmış gelişmiş hedefli kimlik avı operasyonlarıyla uzun süredir tanınıyor. Mayıs 2024'te ABD hükümeti, grubun zayıf veya yanlış yapılandırılmış DMARC politikalarından yararlanarak meşru alan adlarını inandırıcı bir şekilde taklit eden e-postalar gönderdiğini kamuoyuna açıkladı.
QR Kodları Bu Saldırıları Neden Bu Kadar Tehlikeli Hale Getiriyor?
Geleneksel kimlik avı saldırılarının aksine, QR kod tabanlı tuzaklar kurbanları kurumsal olarak yönetilen sistemlerden uzaklaştırarak kişisel veya az korunan mobil cihazlara yönlendirir. Bu geçiş, saldırganların kurumsal e-posta güvenlik araçlarını, uç nokta koruma platformlarını ve ağ izleme kontrollerini atlatmalarına olanak tanır.
Kötü amaçlı QR kodları tarandıktan sonra, hedefleri saldırganın kontrolündeki altyapıya yönlendirir; burada kimlik bilgileri, oturum çerezleri veya hassas veriler, standart kurumsal uyarıları tetiklemeden ele geçirilebilir.
FBI Tarafından Gözlemlenen 2025 Saldırı Senaryoları
FBI, Kimsuky aktörleri tarafından Mayıs ve Haziran 2025'te yürütülen çok sayıda hedefli kampanyayı raporladı; bunlar arasında şunlar yer alıyor:
- Bir dış politika danışmanı gibi davranarak, bir düşünce kuruluşu liderinden Kore Yarımadası'ndaki gelişmelerle ilgili bir ankete erişmek için bir QR kodunu taramasını istemek.
- Kendisini Kuzey Kore insan hakları konusunda uzman görüşü almak isteyen bir elçilik çalışanı olarak tanıtan ve 'güvenli bir sürücüye' bağlantı verdiğini iddia eden bir QR kodu içeren bir e-posta gönderiliyor.
- Bir düşünce kuruluşu çalışanı gibi davranarak kurbanları saldırganın kontrolündeki altyapıya yönlendiren QR kodları gönderip, daha sonraki istismarlara zemin hazırlıyorlardı.
- Sahte konferans davetiyeleriyle bir stratejik danışmanlık firmasını hedef alan ve Google hesap bilgilerini sahte giriş portalları aracılığıyla çalmak için oluşturulmuş sahte kayıt sayfalarına yönlendiren QR kodları kullanan bir dolandırıcılık vakası.
Bu olaylar, güvenlik araştırmacılarının Kimsuky tarafından yürütülen ve Seul merkezli bir lojistik şirketini taklit eden kimlik avı e-postaları aracılığıyla 'DocSwap' adlı yeni bir Android kötü amaçlı yazılım varyantını dağıtan bir QR kampanyasını ortaya çıkarmasının hemen ardından yaşandı.
Quishing, MFA’ya Dayanıklı Saldırıları Nasıl Mümkün Kılıyor?
Modern oturum engelleme operasyonları sıklıkla oturum belirteci hırsızlığı ve tekrar oynatma ile sonuçlanmaktadır. Saldırganlar, aktif kimlik doğrulama belirteçlerini ele geçirerek çok faktörlü kimlik doğrulamasını tamamen atlayabilir ve normalde verilen 'MFA başarısız oldu' uyarılarını tetiklemeden bulut kimliklerini ele geçirebilirler.
Buradan hareketle, saldırganlar kurban ortamında kalıcı bir varlık oluşturur ve genellikle ele geçirdikleri posta kutusunu kullanarak dahili olarak ikincil hedefli kimlik avı kampanyaları başlatırlar. İlk saldırı, standart EDR kapsamı ve ağ denetim sınırlarının dışında, yönetilmeyen mobil cihazlarda gerçekleştiği için, quishing artık kurumsal ortamlarda yüksek güvenilirlik düzeyine sahip, çok faktörlü kimlik doğrulamaya (MFA) dirençli bir kimlik ihlali tekniği olarak kabul edilmektedir.
