FBI twierdzi, że Kimsuky APT, wspierana przez państwo północnokoreańskie grupa hakerska, wykorzystuje złośliwe kody QR do włamywania się do amerykańskich organizacji powiązanych z polityką wobec Korei Północnej.
Ostrzeżenie pojawiło się w FBI FLASH z 2025 roku przekazanym organizacjom pozarządowym, ośrodkom analitycznym, uniwersytetom i grupom powiązanym z rządem. Agencja twierdzi, że wszystkie cele mają jedną wspólną cechę. Badają, doradzają lub pracują wokół tematyki Korei Północnej.
Według FBI, Kimsuky APT prowadzi kampanie spearphishingowe, które opierają się na kodach QR zamiast linków, metodę znaną jako Quishing.
Kody QR ukrywają szkodliwe adresy URL, a ofiary niemal zawsze skanują je telefonami, a nie komputerami służbowymi. Ta zmiana pozwala atakującym ominąć filtry e-mail, skanery linków i narzędzia sandbox, które zwykle wychwytują phishing.
Kimsuky APT wysyła e-maile oparte na kodach QR do celów związanych z polityką i badaniami
FBI twierdzi, że Kimsuky APT wykorzystywało kilka tematycznych e-maili w 2025 roku. Każdy z nich pasował do pracy i zainteresowań celu. W maju atakujący podszywali się pod zagranicznego doradcę. Wysłali e-mail do lidera ośrodka analitycznego, pytając o opinie na temat ostatnich wydarzeń na Półwyspie Koreańskim. E-mail zawierał kod QR, który rzekomo otwierał kwestionariusz.
Później w maju grupa podszyła się pod pracownika ambasady. Ten e-mail trafił do starszego członka ośrodka analitycznego. Prosił o opinię na temat praw człowieka w Korei Północnej. Kod QR rzekomo odblokowywał bezpieczny dysk. W tym samym miesiącu kolejny e-mail udawał, że pochodzi od pracownika ośrodka analitycznego. Skanowanie jego kodu QR przekierowywało ofiarę do infrastruktury Kimsuky APT zbudowanej do złośliwej działalności.
W czerwcu 2025 roku FBI twierdzi, że grupa zaatakowała firmę doradczą ds. strategicznych. E-mail zapraszał pracowników na konferencję, która nie istniała. Kod QR kierował użytkowników na stronę rejestracyjną. Przycisk rejestracji następnie przekierowywał odwiedzających na fałszywą stronę logowania Google. Ta strona zbierała nazwy użytkowników i hasła. FBI powiązało ten krok z działalnością zbierania danych uwierzytelniających śledzoną jako T1056.003.
Skanowanie kodów QR prowadzi do kradzieży tokenów i przejęcia konta
FBI twierdzi, że wiele z tych ataków kończy się kradzieżą i odtworzeniem tokena sesji. Pozwala to atakującym ominąć uwierzytelnianie wieloskładnikowe bez wywoływania alertów. Konta są przejmowane po cichu. Następnie atakujący zmieniają ustawienia, dodają dostęp i utrzymują kontrolę. FBI twierdzi, że skompromitowane skrzynki pocztowe są następnie wykorzystywane do wysyłania kolejnych e-maili spearphishingowych wewnątrz tej samej organizacji.
FBI zauważa, że te ataki zaczynają się na osobistych telefonach. To umieszcza je poza normalnymi narzędziami wykrywania punktów końcowych i monitorowania sieci. Z tego powodu FBI stwierdziło:-
FBI wzywa organizacje do zmniejszenia ryzyka. Agencja twierdzi, że pracownicy powinni być ostrzegani przed skanowaniem losowych kodów QR z e-maili, listów lub ulotek. Szkolenie powinno obejmować fałszywą pilność i podszywanie się. Pracownicy powinni weryfikować prośby o kody QR poprzez bezpośredni kontakt przed zalogowaniem się lub pobraniem plików. Powinny obowiązywać jasne zasady raportowania.
FBI zaleca również stosowanie:- "odpornego na phishing MFA dla całego zdalnego dostępu i systemów wrażliwych" oraz "przegląd uprawnień dostępu zgodnie z zasadą najmniejszych uprawnień i regularne audyty w poszukiwaniu niewykorzystanych lub nadmiernych uprawnień konta."
Najmądrzejsze umysły kryptowalutowe już czytają nasz newsletter. Chcesz dołączyć? Dołącz do nich.
Źródło: https://www.cryptopolitan.com/north-korea-kimsuky-apt-malicious-qr-codes/
