Фішингова атака з використанням QR-кодів Kimsuki
Федеральне бюро розслідувань США опублікувало публічне попередження про те, що зловмисники, спонсоровані державою Північної Кореї, активно використовують шкідливі QR-коди у цілеспрямованих фішингових кампаніях проти організацій у Сполучених Штатах. Ці операції, що спостерігалися протягом 2025 року, являють собою зростаючий зсув у бік «квішингу» — фішингових атак, які покладаються на QR-коди (швидке реагування) для доставки шкідливого контенту.
Зміст
Хто стоїть за цими кампаніями?
Цю активність приписують групі загроз Kimsuky, також відомій у сфері безпеки як APT43, Black Banshee, Emerald Sleet, Springtail, TA427 та Velvet Chollima. Вважається, що цей кластер пов'язаний з Генеральним бюро розвідки (RGB) Північної Кореї.
Kimsuky має давню репутацію компанії, яка займається складними фішинговими операціями, зокрема тими, що спрямовані на обхід або підрив контролю автентифікації електронної пошти. У травні 2024 року уряд США публічно повідомив, що група використовувала слабкі або неправильно налаштовані політики DMARC для надсилання електронних листів, які переконливо видавали себе за легітимні домени.
Чому QR-коди роблять ці атаки такими небезпечними
На відміну від традиційного фішингу, QR-кодові схеми відштовхують жертв від корпоративних систем та перенаправляють їх на особисті або слабо захищені мобільні пристрої. Цей зсув дозволяє зловмисникам обходити корпоративні інструменти захисту електронної пошти, платформи захисту кінцевих точок та засоби контролю мережевого моніторингу.
Після сканування шкідливі QR-коди спрямовують цілі до контрольованої зловмисником інфраструктури, де облікові дані, файли cookie сеансу або конфіденційні дані можуть бути зібрані без запуску стандартних корпоративних сповіщень.
Сценарії атак, що спостерігаються ФБР, у 2025 році
ФБР повідомило про численні цілеспрямовані кампанії, проведені акторами Кімсуки у травні та червні 2025 року, зокрема:
- Видаючи себе за радника з питань зовнішньої політики, він просив керівника аналітичного центру відсканувати QR-код, щоб отримати доступ до анкети щодо подій на Корейському півострові.
- Маскуючи себе під співробітника посольства, який шукає експертної думки щодо прав людини в Північній Кореї, використовуючи QR-код, що нібито посилається на «захищений диск»
- Видаючи себе за співробітника аналітичного центру та надсилаючи QR-коди, які перенаправляли жертв до контрольованої зловмисником інфраструктури для подальшої експлуатації.
- Націлювання на стратегічну консалтингову фірму з підробленими запрошеннями на конференції, використання QR-кодів, що призводило до шахрайських сторінок реєстрації, створених для крадіжки облікових даних облікового запису Google через підроблені портали входу.
Ці інциденти сталися одразу після окремого розкриття інформації дослідниками безпеки, які виявили QR-кампанію, керовану Kimsuky, яка розповсюджувала новий варіант шкідливого програмного забезпечення для Android під назвою «DocSwap» через фішингові електронні листи, що імітували логістичну компанію, що базується в Сеулі.
Як приглушення даних забезпечує стійкість до вторгнень MFA
Сучасні операції скривання даних часто завершуються крадіжкою та повторним відтворенням токенів сеансу. Захоплюючи активні токени автентифікації, зловмисники можуть повністю обійти багатофакторну автентифікацію, перехоплюючи хмарні ідентифікаційні дані, не викликаючи звичайних попереджень «MFA failed» (помилка багатофакторної автентифікації).
Звідти зловмисники встановлюють стійкість у середовищі жертви та часто використовують скомпрометовану поштову скриньку для запуску вторинних фішингових кампаній внутрішньо. Оскільки початкова компрометація відбувається на некерованих мобільних пристроях, поза стандартним покриттям EDR та межами перевірки мережі, приховування даних тепер вважається високонадійним, стійким до MFA методом вторгнення в ідентифікаційні дані в корпоративних середовищах.
